https://mu7889yoon.github.io/tags/security/Recent content in Security on よ〜んの雑記Hugoja-jpMon, 04 May 2026 20:13:38 +0900https://mu7889yoon.github.io/posts/impression-of-git-secret/Mon, 04 May 2026 20:13:38 +0900https://mu7889yoon.github.io/posts/impression-of-git-secret/<p>よ〜んです</p> <p>GitHub のリポジトリに AWS アクセスキーや API キーなどのシークレットを誤ってコミットしてしまう可能性ってありますよね。もちろんビューで気づけるのが理想ですけど、大AI時代となった今、人の目だけに頼る運用には限界があります。</p> <p>コードレビュー以外の方法でシークレット混入を機械的に防げないかを調査して見ました。AWS Labs が公開している <a href="https://github.com/awslabs/git-secrets">git-secrets</a> というツールを見つけたので、本記事ではそれを実際に触ってみようと思います。</p> <h2 id="git-secretsとは">git-secretsとは</h2> <p><code>git-secrets</code> は、シークレットや認証情報が Git リポジトリにコミットされることを防ぐためのツールです。AWS の <a href="https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/scan-git-repositories-for-sensitive-information-and-security-issues-by-using-git-secrets.html">Prescriptive Guidance</a> でも、パスワードや AWS アクセスキーなどの機密情報を検出する用途で紹介されていたりします。</p> <p>特に AWS を扱う場合は、認証情報パターン(ルールセット)を一括登録するコマンドも用意されています</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>git secrets --register-aws </span></span></code></pre></div><h2 id="インストール">インストール</h2> <p>macOS なら Homebrew でサクッとインストール可能です：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>brew install git-secrets </span></span></code></pre></div><h2 id="リポジトリに設定する">リポジトリに設定する</h2> <p>ここが大事なんですけど、ツールをインストールしただけではまだ各リポジトリで動きません。</p> <p>対象のリポジトリで以下を実行します</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>git secrets --install </span></span><span style="display:flex;"><span>git secrets --register-aws </span></span></code></pre></div><p><code>git-secrets</code> は Git hooks に依存しているので、ツールのインストール後に、リポジトリごとに hooks をセットアップする必要があります。</p> <h2 id="実際に試してみる">実際に試してみる</h2> <p>検証用にシークレットらしき値を含むファイルを作ってみます（もちろんダミーですよ！！！）</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>cat <span style="color:#e6db74">&lt;&lt; &#39;EOF&#39; &gt; .env </span></span></span><span style="display:flex;"><span><span style="color:#e6db74">AWS_ACCESS_KEY_ID=HOGEIOSFODNN7EXAMPLE </span></span></span><span style="display:flex;"><span><span style="color:#e6db74">AWS_SECRET_ACCESS_KEY=fUgalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY </span></span></span><span style="display:flex;"><span><span style="color:#e6db74">EOF</span> </span></span></code></pre></div><p>この状態でコミットしようとすると、<code>git-secrets</code> が検知して止めてくれます：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>git add .env </span></span><span style="display:flex;"><span>git commit -m <span style="color:#e6db74">&#34;add env file&#34;</span> </span></span></code></pre></div><p>検知されると、対象ファイルの行番号や一致した内容が表示されて、コミントは失敗します。<code>Matched one or more prohibited patterns</code> が出力されます。</p>