www.itmedia.co.jp

GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く - ITmedia NEWS

SMBCから業務委託を受けたSEらしき人物が、GitHubにソースコードを公開したことが話題になった。この情報漏えいはどうすれば防げたのか。専門界に話を聞いた。

GitHubへのソースコード流出問題があった。

セキュリティに関して

ソースコードは大したものじゃないのでなんらセキュリティに影響ない。 GitHubには様々なソースコードが存在する。 オープンソースプロジェクトがそれなりの数を占めるのでそれらを利用しているのであれば、 ソースコードは既に漏れた状態であると言ってもいい。 しかし、それらは公開されていても何ら問題ないのである。 なぜなら、標準では各社サーバーへのアクセスができないからだ。 サーバーへのアドレスやパスワード、トークンが組み込まれていて漏洩したのであれば非常に問題となる。 オープンソースプロジェクトにはキーとなるそれらが存在しない。 そのため影響はないのである。 再利用できるものを共有するのがオープンソースプロジェクトの目的で 共通化するためにはキーとなる情報を個々に設定できる。

だらだら書いたが、設計図の一部分だけであれば見られてもなんら問題ないのと同じで、核となる部分さえ漏洩しなければ何ら問題ない。

GitHubはソースコードではなく、オープンソースプロジェクトにどれだけ貢献しているかを見ると良い。 その人の書いたソースコードを見てもそのソースコード自体がどこの何に利用されているのかがわからなければ何もわからないからである。

GitHub はプライベート設定で利用しろ

GitHubは機能制限付きだがプライベートで利用できるようなった。 本来ならプライベートで利用すべきだが見落としてパブリックで晒してしまう人たちもいる。 要注意して利用しよう。

企業がやるべき対応

定期的に自社のCopyrightが記載されたソースコードが存在しないかチェックするBOTでGitHubを巡回するといいだろう。 AWSのキーペアをGitHubに流出してしまうと抜かれる事象もある。現在はGitHubが警告をしてくれたりもする。

qiita.com

GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー! - Qiita

🤔 前書き  稀によくある 、AWS を不正利用されちゃう話、 AWSで不正利用され80000ドルの請求が来た話 - Qiita 初心者がAWSでミスって不正利用されて$6,000請求、泣きそうになったお話。 - Qiita...

それと同じように監視する必要があるだろう。 gitのリモートブランチ先はわりと簡単に変更できてしまうので制限を色々かけているから安心とはならない。

おわりに

技術だけでなく倫理観の備わったエンジニアを採用しよう。