クレデンシャル情報の流出を防ぐ「Secret Scan」を提供
ソフトウェア開発支援ソリューションの開発・提供をする株式会社Sider(本社:東京都港区、代表取締役社長:浅原明広)は7月27日、クレデンシャル情報の流出を防ぐセキュリティ機能「Sider Secret Scan」の提供を開始しました。コードレビューSaaS「Sider」でお使いいただけます。
Secret ScanはAPIのシークレットキー、RSA秘密鍵などの秘密情報がリポジトリに含まれていないか自動的に検査する機能です。ソースコード管理プラットフォーム「GitHub」でコードなどの更新リクエスト(Pull Request)を受けると自動的に検査します。
現在のリポジトリ・ソースコード内に秘密情報が含まれないかも検査できます。もし秘密情報がリポジトリに含まれていると検知された場合は、情報流出の原因となり得るため検知された秘密情報を速やかに無効化して下さい。
Secret Scanは、検査対象のリポジトリを設定する「Tools」の画面から、Secret Scanの項目をEnable(有効)することで使えるようになります。今後は、Siderの標準設定としてSecret Scanを有効にする予定です。
セキュリティと開発生産性
開発(Development)と運用(Operations)が一体になって高品質で継続的なソフトウェア開発を目指すDevOpsの取り組みの中で、セキュリティへの対応も開発生産性に大きく関わるとの意識から「DevSecOps」という言葉が登場しています。開発生産性の向上を支援するSiderでも、コードレビューの自動化だけではない支援機能として、DevSecOpsを実現するための機能拡充に取り組んでいます。
高品質で安全なソフトウェアを継続的に提供するため、セキュリティについて担当者だけでなくソフトウェア開発者も気を配る必要があります。開発生産性のためにITインフラをコード化して制御するIaC(Infrastructure as Code)が広まる一方で、秘密鍵など公開してはならない情報がGitHubなどのリポジトリに含まれる事故の機会も多くなっています。
日々更新されるソースコードのチェックを全て人力で実施するのは作業負荷が大きく、各社からセキュリティチェックを自動化する支援サービスが登場しています。一方で、広範なチェック事項をカバーするために多数のサービスを併用するのは、費用やサービスの管理の手間などが負担になりえます。
クレデンシャル情報の流出を防ぐSecret Scanは、Siderの全てのユーザ様が追加の料金のお支払いなくご利用をいただけます*1。開発生産性を向上させる取り組みの延長として、費用や管理の手間といったコストなくセキュリティ対策を効率化できます。
開発生産性とセキュリティレベルの両立のため、DevSecOpsに対する取り組みに注目が集まっています。Siderは、今後も開発生産性の向上に寄与するDevSecOps機能の提供を図っていく予定です。是非、ご利用下さい。
*1 ライセンス料金
GitHubと連携してクレデンシャル情報の検査機能サービスには、例えば追加のライセンス費用に1ユーザー当たり月額7000円以上するものがあります。Siderは自動コードレビュー機能とクレデンシャル情報の検知機能(Secret Scan)の他にも、脆弱性の自動診断機能やコード品質の評価機能といった開発生産性支援機能など、全機能を1ユーザー当たり月額1500円からご利用いただけます。
株式会社Siderについて
株式会社Siderは、ソフトウェアアクセラレーションサービスのグローバルリーダーである株式会社フィックスターズから、ソフトウェア開発分野における製品開発企業として、2019年にスピンオフされた会社です。フィックスターズは2002年の創業以来、自動運転、量子コンピューティング、医療機器、金融システム、コンピューターグラフィクスなど、様々な分野におけるグローバル企業・研究機関に強力なソフトウェア高速化ソリューションを提供してきました。これらのクライアントプロジェクトの経験を活かして、株式会社Siderは、自動コードレビューサービスの「Sider」やプロジェクト管理アシスタントツール「Sider Team Insights」を提供しています。株式会社SiderはAIと人とが協調して開発する世界を実現し、あらゆるエンジニアの開発体験を向上させていきます。詳細はこちらをご参照ください(https://siderlabs.com/)。