ツール・製品
Secret Scanning
Secret Scanning
定義
リポジトリやコード内に含まれるAPIキー、トークン、秘密情報らしき文字列を検出する仕組み。
詳細解説
Secret Scanningは漏えいの早期発見に役立ちますが、検出後はトークンの失効、再発防止、ログ確認まで行う必要があります。検出した値を報告書にそのまま貼らないことも重要です。
ポイント
- 秘密情報のコミットを検出する
- 検出後は必ずローテーションする
- Push Protectionで流入前に止めると効果が高い
関連用語
同じカテゴリの用語(ツール・製品)
Cosign
Cosign
Sigstoreプロジェクトの一部として使われる、コンテナイメージや成果物への署名・検証ツール。…
Dependabot
Dependabot
GitHubで依存関係の更新や脆弱性修正のPull Requestを自動作成する機能。…
Nmap
Nmap
ネットワークスキャナー。ホスト探索・ポートスキャン・サービス/OSバージョン検出・NSEスクリプトによる脆弱性検査が可能…
OSINT
Open Source Intelligence
公開情報(Webサイト・SNS・Whois・DNS・サーチエンジン等)から対象に関する情報を収集・分析する手法。セキュリ…
Push Protection
Push Protection
秘密情報が含まれる可能性のあるコミットを、リモートへpushされる前にブロックする保護機能。…
Sigma
Sigma
SIEM向けの検知ロジックをベンダー非依存の形式で記述するためのルール記述フォーマット。…