Skip to content
Latchkey

secret scanningとは?

secret scanningは、API key、access token、秘密鍵のように、ソースコード、gitの履歴、CIログに誤ってcommitされた認証情報を自動検出することです。スキャナは既知の認証情報のパターンにマッチし、commitをブロックしたり、secretが漏洩したときにチームに警告したりできます。多くのプロバイダは検出したsecretを自動で失効させもします。

なぜ重要か

公開リポジトリで漏洩した認証情報は、自動化されたbotによって数分で悪用されうります。secret scanningは漏洩を早期に、理想的にはmergeされる前に捕捉し、ローテーションを促します。scanningをOIDC tokenのような短命でスコープの限られた認証情報と組み合わせると、secretがすり抜けた場合の被害を減らせます。

関連する概念

  • pre-commitとpush protectionは漏洩を先回りしてブロックする
  • OIDC federationは長命なsecretを一切保存しないで済ませる
  • 漏洩したsecretは履歴から削除するだけでなくローテーションが必要である

関連ガイド