非公開ユーザー
情報通信・インターネット|社内情報システム(開発・運用管理)|300-1000人未満|IT管理者|契約タイプ 有償利用
企業所属 確認済
投稿日:
ハードコーディングされたシークレット情報を素早く検知
SAST/DASTで利用
良いポイント
GitGuardianの一番の良さは、「実運用で本当に使える」点です。
単にシークレットを検知するだけでなく、どこで・誰が・どのように漏らしたかが分かりやすく、初動対応が非常に速くなりました。
また、委託先からのシークレット情報漏洩も確認できる点は他にはかなり良い点です。
経験した製品の中に検知できるシークレット情報はもっとも多く、性能は良いと思います。
改善してほしいポイント
1。誤検知が多いです。トリガーになったユーザーのプロフィールから会社を推測してその人のシークレット漏洩をアラートしますが、関係性がないユーザーに対するアラートが多く、運用負荷になってます。
2。アラート発生時の優先度判断をさらに支援する機能があると嬉しいです。例えば、実際に悪用リスクが高いシークレットかどうかを環境情報を分析して、提案してくれれば良いとおもいます。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
GitGuardianの導入により、ソースコード経由のシークレット情報漏えい対応が大幅に効率化されました。
GithubでもSecretScan機能がありますが、管理Organizationに把握できない社員、業務委託先のユーザーのシークレット情報の外部露出が確認できるようになりました。
続きを開く
