オープン業界では当たり前のようにGit Hubが
もてはやされているけど、古いSEには心配ごとがいっぱい
Gitは変更履歴を保存出来て便利な反面、
間違って生のパスワードをアップロードしたりすると、消したつもりでも履歴に残ったり
と、「消すに消せない問題」側のトラブルは
大変
Gitleaksと言うツールについて調査した
================================
Gitleaks
●何をチェックするか?
1)クラウドプロバイダの認証情報
-->AWSやGCP、Azureなどの認証トークンやアカウント情報、パスワード
2)APIキー・トークン
-->GitHubアクセストークン、Stripe、Twillo、Slack、Discordなど
3)秘密鍵・証明書
-->SSH。(-----BEGIN OPENSSH PRIVATE KEY-----などで始まるファイルを検出)
-->TLS/SSLの鍵(.pem、.key)など
※鍵ファイルは社会通念通りの拡張子にしたほうが検知してくれそう。
4)データベースの接続文字列
-->ユーザー名、パスワード、ホスト名など
これは地味に助かりそう。テストでベタ打ち、これはSEあるある。
××個人情報は守備範囲外!××
機密と言えば、個人情報のことと思いがちだけど、人名やメールアドレス、
電話番号の自動検出は出来ない
→これらの情報は、機密ではなくて、問い合わせ先として
公開するために掲載されるケースもあるので、機械的に判定
しようがないものと思われる。
===============
https://github.com/gitleaks/gitleaks
Mac環境以外だとインストール手順がcurlやwgetを経由しないと
いけなくてリスキー(偽サイトのURLだと終了)なわりに、
得られる対価がしょぼいので、今回はやらないことにした。
そのうち、GitコマンドやGitHub自体に標準
実装されるようになったら勉強しないで済む
というのもあるかもしれない?
作成日: 2025年11月3日15:07
更新日: 2025年11月3日15:26