コードレビューSaaS「Sider」がDevSecOps向けの機能を強化、クレデンシャル情報の流出を防ぐ「Secret Scan」を提供

ソフトウェア開発支援ソリューションの開発・提供をする株式会社Sider（東京都港区）は7月27日、クレデンシャル情報の流出を防ぐセキュリティ機能「Sider Secret Scan」の提供を開始しました。コードレビューSaaS「Sider」でお使いいただけます。
　　　
Secret ScanはAPIのシークレットキー、RSA秘密鍵などの秘密情報がリポジトリに含まれていないか自動的に検査する機能です。ソースコード管理プラットフォーム「GitHub」でコードなどの更新リクエスト（Pull Request）を受けると自動的に検査します。
　　　
現在のリポジトリ・ソースコード内に秘密情報が含まれないかも検査できます。もし秘密情報がリポジトリに含まれていると検知された場合は、情報流出の原因となり得るため検知された秘密情報を速やかに無効化して下さい。
　　　
Secret Scanは、検査対象のリポジトリを設定する「Tools」の画面から、Secret Scanの項目をEnable（有効）することで使えるようになります。今後は、Siderの標準設定としてSecret Scanを有効にする予定です。
　　　
セキュリティと開発生産性
開発（Development）と運用（Operations）が一体になって高品質で継続的なソフトウェア開発を目指すDevOpsの取り組みの中で、セキュリティへの対応も開発生産性に大きく関わるとの意識から「DevSecOps」という言葉が登場しています。開発生産性の向上を支援するSiderでも、コードレビューの自動化だけではない支援機能として、DevSecOpsを実現するための機能拡充に取り組んでいます。
　　　　
高品質で安全なソフトウェアを継続的に提供するため、セキュリティについて担当者だけでなくソフトウェア開発者も気を配る必要があります。開発生産性のためにITインフラをコード化して制御するIaC（Infrastructure as Code）が広まる一方で、秘密鍵など公開してはならない情報がGitHubなどのリポジトリに含まれる事故の機会も多くなっています。
　　　　　
日々更新されるソースコードのチェックを全て人力で実施するのは作業負荷が大きく、各社からセキュリティチェックを自動化する支援サービスが登場しています。一方で、広範なチェック事項をカバーするために多数のサービスを併用するのは、費用やサービスの管理の手間などが負担になりえます。
　　　　
クレデンシャル情報の流出を防ぐSecret Scanは、Siderの全てのユーザー様が追加の料金のお支払いなくご利用をいただけます。開発生産性を向上させる取り組みの延長として、費用や管理の手間といったコストなくセキュリティ対策を効率化できます。
　　　　　
開発生産性とセキュリティレベルの両立のため、DevSecOpsに対する取り組みに注目が集まっています。Siderは、今後も開発生産性の向上に寄与するDevSecOps機能の提供を図っていく予定です。

詳細　https://siderlabs.com/