secret scanningとは?
secret scanningは、API key、access token、秘密鍵のように、ソースコード、gitの履歴、CIログに誤ってcommitされた認証情報を自動検出することです。スキャナは既知の認証情報のパターンにマッチし、commitをブロックしたり、secretが漏洩したときにチームに警告したりできます。多くのプロバイダは検出したsecretを自動で失効させもします。
なぜ重要か
公開リポジトリで漏洩した認証情報は、自動化されたbotによって数分で悪用されうります。secret scanningは漏洩を早期に、理想的にはmergeされる前に捕捉し、ローテーションを促します。scanningをOIDC tokenのような短命でスコープの限られた認証情報と組み合わせると、secretがすり抜けた場合の被害を減らせます。
関連する概念
- pre-commitとpush protectionは漏洩を先回りしてブロックする
- OIDC federationは長命なsecretを一切保存しないで済ませる
- 漏洩したsecretは履歴から削除するだけでなくローテーションが必要である
関連ガイド
What Is OIDC Federation in CI/CD?OIDC federation lets a CI job exchange a short-lived identity token for cloud credentials, removing the need…
What Is the Principle of Least Privilege?Least privilege means granting every user, job, or token only the minimum permissions needed to do its task a…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…