GitHub Secret Scanning

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

2023年5月中旬以降、Workato Developer APIクライアントトークンはGitHub Secret Scanningと統合され、APIトークンがpublic GitHubリポジトリ上のプレーンテキストで見つかった場合に、追加のセキュリティ層を提供できるようになりました。

これらのトークンが見つかった場合、Workatoは次の手順を実行します。

  1. Developer APIトークンを失効させ、不正な行為者がWorkatoワークスペースに不正アクセスできないようにする
  2. 漏えいしたトークンについて、見つかった場所や漏えいしたトークンからの復旧方法に関する情報を含め、ワークスペース管理者にメールを送信する

漏えいしたトークンのメール漏えいしたトークンのメール

TIP

トークンが漏えいした場合に関係者へ確実に通知されるように、ワークスペース管理者をメール通知リストに追加してください。 これは、ワークスペース管理者としてログインしているときにワークスペース設定に移動することで実行できます。

  1. Workato UIでAPIクライアントを漏えい済みとしてマークする
  2. APIトークンが漏えいしたことを示す監査ログイベントを追加する

監査イベント漏えいしたトークンの監査イベント

トークンを即座に失効させる理由

ヒューマンエラーは、悪意のある行為者がお客様のアカウントにアクセスできる最も一般的な原因の1つです。 多くの悪意のある行為者が、漏えいしたトークンを見つけるためにGitHub publicリポジトリでクローラーを使用していることがわかっています。そのため、Workatoワークスペースを保護できることが重要です。

このプロセスは、GitLabOktaなどのツールによって提案されている多くのベストプラクティスにも沿っています。

Last updated: