Axurは、GitHub上の公開コードやコミットに含まれるコードキー(トークン、パスワード、重要な設定ファイル)を検出する専門的なソリューションを提供しています。このソリューションは、契約企業のドメインが言及されている場合に適用されます。本記事では、この機能がどのように動作し、クライアントの重要な情報を保護するのかを解説します。
このソリューションの機能
クライアントに関する重要な情報を含む可能性のあるコードキーを特定
domain.com.brやbr.com.domainなどの情報を利用し、露出したデータを検索キーが発見された正確な行を表示(発生箇所をクリックするとGitHubの該当行へ直接移動)
特定されたコードキーの種類を明示
新規コミット内のコードキーを検出
このソリューションが対応しないもの
他のGitプラットフォーム
GitLabやBitbucketなど、GitHub以外のプラットフォーム上のコードキーを検出しません。
GitHubのコミット履歴
GitHubのコミット履歴(コレクション作成前の履歴)に含まれるコードキーを検出しません。
大容量リポジトリ
圧縮サイズ35MB以上、または非圧縮サイズ100MB以上のリポジトリにあるコードキーを検出しません。
非アクティブなリポジトリ
過去365日以内にコミットがないリポジトリ内のコードキーを検出しません。
リスクスコア
クライアントのドメインが言及されているリポジトリにあるコードキーについて、リスクスコアを提供しません。(チケットには0〜50のリスクレベルがありますが、個々のキーにはリスクレベルがありません。)
ZIPファイル
.ZIPファイル内のコードキーを検出しません。
GitHubでの侵害とは?
GitHubのポリシーについては、詳細な記事「GitHub — What is an infringement?」をご参照ください。
コードシークレット流出に関するチケットの手動作成
コードシークレットの流出を報告するために、プラットフォーム上で手動でチケットを作成する必要がある場合、そのプロセスは他のソリューションと同様です。詳細は「チケットの手動追加」記事をご確認ください。
注意!
チケットを作成する前に、プラットフォーム上で既存のチケットがないか検索してください。詳しくは「チケットの手動検索」記事をご覧ください。
データ流出 セクションにアクセスします。
画面右上の「+ チケットを追加」ボタンをクリックします。
不正行為に関連するアセットを選択します。
チケットタイプとして「コードシークレット流出」を選択します。
URLを入力します。複数のURLがある場合は、「複数のチケットを作成」オプションを選択します。
「+ 追加」をクリックします。
これでコードシークレット流出のチケットが正常に作成されました! \o/
注意!
コードシークレット流出のチケットを作成した後は、挿入したURLでどのキーが露出しているかを示す証拠を追加することが必須 です。証拠の追加方法については、「チケットに証拠を追加する方法」記事をご参照ください。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊