- GitHub、GitLab、Azure DevOps、Bitbucket のような Git ホスティングプラットフォームでは、シークレットの露出を防ぐための機能をサポート
- GitHub:
- リポジトリにシークレットをプッシュすることを制限し、リポジトリ内のシークレットをスキャンする機能を提供
- GitLab:
- Git リポジトリを事前にスキャンし、API キー、パスワード、トークンなどの潜在的なシークレットが誤ってコミットされ、露出する前に検出
- GitLab のシークレットスキャン機能は、有効化されるとリポジトリ内のシークレットをスキャンする job を実行
- これは Auto DevOps を有効にするか、
.gitlab-ci.yml を編集することで構成することも可能
- Microsoft Azure:
- Azure DevOps リポジトリの GitHub Advanced Security ライセンスに応じて、Azure DevOps リポジトリでシークレットスキャン機能をサポート
- これは依存関係スキャン、コードスキャンなどの機能とともに、シークレットスキャン機能とプッシュ保護機能を提供
- Bitbucket:
- リポジトリ内のシークレットをスキャンし、新しいコミット内で露出したシークレットが検出された際に通知をトリガー
- メール通知は、作成者、コミッター、シークレットを含むコードをリポジトリにプッシュまたはマージした開発者など、シークレットのコミット履歴に含まれる全員に送信される
5件のコメント
GeekNewsでもSecret流出の問題を見られるのは、なんだかうれしいです。
私たちは https://cremit.io サービスを作っているスタートアップです。
本文に出ているツールの Integrations 領域が DevSecOps ツールにだけ偏っているとすれば、
私たちはそれをコラボレーションツール領域まで拡張し、Secret / Credential を中心とした Security 運用を支援するサービスです。 :)
おっと、後で Show GN として一度紹介していただけませんか? 興味があります +_+
まもなくPublic公開へ移行する予定です!
ぜひ共有できるようにいたします。 :)
面白いサービスですね! ぜひ紹介してください!
こんにちは! Show GNで簡単にご紹介しました!
https://ja.news.hada.io/topic?id=13725
ご関心をお寄せいただきありがとうございます!笑