.avif)
レビュー
「AikidoはISOとSOC2の認証取得に役立つ統合された自動レポーティング・ソリューションのおかげで、御社のセキュリティを御社の強みの1つにします。」
ファブリス・G
Kadonation代表取締役
.png)
シークレット検出
ハッカーよりも早く漏洩したシークレットを捕捉します。
Aikidoは、APIキー、認証情報、トークンが本番環境に到達する前に、コード内の露出したそれらをスキャンします。
最も重要なシークレットを明らかにします。- メンテナンスフリーのCI/CD統合
- 安全なシークレットまたは非アクティブなシークレットを無視します。
.avif)
5万社以上で活用されています
10万人以上の開発者に愛されている
4.7/5
秘密発見の重要性
シークレットスキャンが重要な理由
開発者が犯す最も一般的な間違いの1つは、シークレットを誤って漏洩させることです。これには、APIキー、パスワード、暗号化キー、プライベートキーなどの機密性の高い認証情報が含まれ、これらのいずれも、攻撃者が機密データにアクセスしたり盗んだりすることを可能にする可能性があります。
安全であることが確認された秘密に対しては、あえて検出や追跡を行わず、無視される仕組みになっています。
安全であることが知られているシークレットを認識し、自動的にトリアージします(例: Stripeの公開可能キー、フロントエンドで使用されるGoogle Maps APIキー)。これにより、アラートがトリガーされることはありません。
無関係な秘密をフィルタリング
Aikidoはすでに無効な秘密情報や、単なる変数名と思われるものは、自動的に無視されるため、不要なアラートが発生しません。Aikidoは秘密データを生成しない認可を必要とするAPIエンドポイントにリクエストを送ることで、既知のシークレットタイプの妥当性を安全に検証します。
高度な機能
秘密スキャン機能
アクティブなシークレットを検出します。
1つのプラットフォームでフルカバレッジ
散在しているツールスタックを、すべてをこなし、何が重要かを示してくれる1つのプラットフォームに置き換えましょう。
よくあるご質問
もっと探索する
シークレット検出とは何ですか?また、コード内のAPIキーや認証情報の漏洩について懸念すべき理由は何ですか?
シークレット検知は、露出したAPIキー、パスワード、トークン、認証情報についてコードをスキャンします。漏洩したシークレットは攻撃者にシステムへの直接アクセスを許し、データ侵害や高額なクラウドの不正利用につながる可能性があります。リポジトリ内の単一のAWSキーでさえエクスプロイトされる可能性があります。シークレットスキャンは、これらの問題がプッシュまたはマージされる前に検知するのに役立ち、インフラストラクチャを不正アクセスから保護します。
Aikidoのシークレットスキャンはどのように機能し、どのような種類のシークレット(APIキー、トークン、パスワードなど)を検出できますか?
Aikidoは、既知のシークレットパターンと高エントロピー文字列についてコードと設定ファイルをスキャンします。APIキー、トークン、プライベートキー、DB認証情報などを検知します。パターンマッチング、エントロピー分析、検証ロジックを使用し、誤検知を最小限に抑えながら、実際のシークレットを特定します。露出した場合に危険となる可能性のある機密性の高いものを全てフラグ付けします。
Aikidoは、Gitの履歴全体をシークレットについてスキャンしますか、それとも最新のコードコミットのみですか?
デフォルトでは、Aikidoは現在のコードをスキャンしますが、古いコミットで露出したシークレットを検知するために、完全なGit履歴もスキャンできます。履歴スキャンはオプションで設定可能であり、追加されて削除されたものの、リポジトリ履歴で依然としてアクセス可能なシークレットを検知するのに理想的です。
漏洩を早期に検出するために、Aikidoのシークレットスキャンをワークフロー(CIパイプラインやpre-commitフックなど)にどのように統合できますか?
AikidoをCIパイプラインに統合し、検知されたシークレットを含むビルドやPRをブロックできます。また、開発中のリアルタイムフィードバックのためにIDE拡張機能やpre-commitフックもサポートしています。これにより、シークレットが本番ブランチに到達する前に、シークレット検知が自動的に行われることが保証されます。
Aikidoはシークレット検出において多くの誤検知(例えば、ランダムなIDをシークレットと誤認するなど)を生成しますか?
Aikidoは誤検知を削減するために最適化されています。既知の公開鍵(例:Stripeの公開可能キー)のフラグ付けを避け、テスト値やランダムなデータをフィルタリングします。可能な場合は、アラートを上げる前にシークレットの有効性を検証するため、得られる結果は関連性が高く、実用的なものになります。
Aikidoのシークレットスキャナーを設定して、特定のパターンや既知のテスト認証情報を無視することはできますか?
はい。無視ルール、パターン、またはアノテーションを追加して、Aikidoが既知のテスト値をフラグ付けするのを防ぐことができます。また、ダッシュボードで検知結果を「修正しない」または「安全」としてマークすることも可能です。この調整によりアラート疲れを軽減し、何がフラグ付けされるかを制御できます。
Aikidoが漏洩したシークレットを検出した場合、どのような対応をしますか?アラート、コミットのブロック、失効支援などですか?
Aikidoは即座にアラートを発し、(CIに統合されている場合)コミットやビルドをブロックできます。ファイル、行、キーの種類を表示し、シークレットの取り消しを推奨します。Aikidoはキーを直接取り消しませんが、アクティブな認証情報を強調表示し、次に何をすべきかを示します。
Aikidoのシークレットスキャンは、GitGuardianやGitleaksのようなツールと比較してどうですか?
AikidoはGitGuardian/Gitleaksと同等の検出品質を提供しますが、シークレットスキャンをより広範なセキュリティプラットフォームに統合します。コンテキストに基づいたトリアージによりノイズを削減し、コード、クラウド、IaC、シークレット全体のアラートを統合します。複数のプラットフォームを使い分けることなく、すべてのリスクに対応する単一のツールです。
Aikidoはシークレットをソースコードのみで検出しますか、それとも設定ファイルやYAMLなどの他の場所でも検出しますか?
はい、コード、YAML、JSON、.envファイル、Terraform、コミットメッセージなど、すべてのテキストファイルをスキャンします。シークレットは設定ファイルやマニフェストに隠れていることが多く、Aikidoはそれらすべてをチェックし、偶発的な漏洩をどこででも捕捉します。
すでにGitHubのシークレットスキャンやpre-commitフックを使用している場合、なぜAikidoのシークレット検出が必要なのですか?
AikidoはGitHubのスキャンとフックを補完し、より広範なカバレッジ(マルチプラットフォームサポート)、一元化されたアラート、およびより深いコンテキストを提供します。開発者の設定に依存せず、誤検知を削減し、フックがバイパスされた場合でも、すべてのリポジトリでシークレットを捕捉します。これにより、階層的な保護と優れた可視性が追加されます。
もっと探索する
今すぐ安全を確保しましょう
コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。
