米GitHubは8月19日(米国時間)、トークンスキャニングの新たなパートナーとして、Atlassian、Dropbox、Discord、Proctorio、Pulumiの5社との提携を発表した。

昨今、GitHubリポジトリにトークンや認証情報を意図せず公開してしまった、あるいは第三者が意図せずに公開した情報を偶然発見するという事象が報告されており、同社では昨年にトークンスキャニングを導入し、プッシュされたコミットをスキャンし、意図せず公開された認証情報の悪用を防止できるようにしたという。

今回、同社はセキュリティ上の脅威から保護するため、Atlassian、Dropbox、Discord、Proctorio、Pulumiの5社と各社のトークンフォーマットのスキャンについて新たに提携した。

5社は、Alibaba Cloud、AWS、Azure、Google Cloud、Mailgun、npm、Slack、Stripe、Twilioといったサービスプロバイダーとともに、開発者の保護に協力しており、JiraやDiscordなどの製品のトークンを誤ってチェックインしてしまった場合、チェックインから数秒以内にトークンが一致している可能性がある旨の通知がプロバイダーに送信されるようになった。これにより、プロバイダーは悪用される前にトークンの無効化を可能としている。

同社では日々約900万件のコミットがプッシュされており、コミットのプッシュ(またはプライベートリポジトリの公開)から数秒以内にコンテンツをスキャンすることで、数多くの既知のトークンフォーマットをチェック。

一致するトークンフォーマットが検出されると、該当するサービスプロバイダーに通知が届き、サービスプロバイダーはトークンを無効化し、影響のあるユーザーに通知するなどの適切な対応をとることができるという。

以下の画像は、Discordトークンが意図せずにパブリックリポジトリに送信された場合にユーザーが受け取る通知メールの例。

  • Discordトークンが意図せずにパブリックリポジトリに送信された場合にユーザーが受け取る通知メールのイメージ

    Discordトークンが意図せずにパブリックリポジトリに送信された場合にユーザーが受け取る通知メールのイメージ