開発者優先のワークフロー全体にわたる機密情報検出
SonarQubeのシークレット検出機能は、パスワードやアクセストークンなどのコードシークレットがIDEに記述された瞬間、あるいはパイプライン段階で導入された瞬間に捕捉します。実行可能なコンテキスト内ガイダンスにより、開発者は即座に修正が可能となり、開発スピードを維持しながらセキュリティとコード品質を確保できます。

世界で700万人の開発者と40万以上の企業および政府機関に信頼されています。
秘密とは何か?
シークレットとは、パスワード、APIキー、データベーストークンなど、ソースコード内にハードコードされた高価値の認証情報であり、漏洩すると企業のセキュリティを脅かします。シークレットが漏洩すると、システムやデータへの不正アクセスを許し、侵害やコンプライアンスリスクにつながります。漏洩を防ぐには、開発の早い段階でシークレットを特定・削除し、ソース管理に到達しないようにする必要があります。
シークレットには以下が含まれます:
- パスワード
- APIキー
- 暗号化キー
- トークン
- データベース認証情報
なぜ漏洩した機密情報が重大なビジネスリスクとなるのか?
漏洩したシークレットは、保護されたシステムやデータへの不正アクセスを可能にするため、深刻なセキュリティリスクとなります。攻撃者は、公開されたトークン、キー、または認証情報を利用して、迅速に攻撃範囲を拡大し、権限を昇格させ、機密情報を流出させることが可能です。影響を封じ込め、安全な状態を回復するためには、影響を受けたシークレットの迅速な検出と即時ローテーションが不可欠です。
コードリポジトリ内の機密情報:
- - 開発者の作業負荷が増大(発見・修正・変更のプッシュ)
- - 鍵・トークン・パスワードの強制的な更新による煩雑な修復作業が必要
SonarQubeの機密情報検出機能が、なぜあなたにとって最高のコードスキャンツールなのか
強力
SonarQubeの包括的な機密検出機能は、一般的なソリューションを超えた性能を発揮します。248のクラウドサービスと1,000以上のAPIを対象に、400を超える機密パターンを特定する340以上のルールを備えています。シグナルに焦点を当てた分析により、開発者にとって正確でノイズの少ない結果を保証します。
速い
シークレット検出スキャンは通常のコードスキャンと同時に実行され、スキャン処理時間に顕著な影響を与えません。この並列化されたアプローチにより、開発者の生産性を維持しつつ、CI/CDパイプラインにおける継続的なセキュリティカバレッジを確保します。
包括的
SonarQubeは、SonarQube for IDEを使用してIDE内で、またSonarQube ServerまたはSonarQube Cloudを使用してリポジトリおよびCI/CDパイプライン内で機密情報の検出を行います。このシフトレフトアプローチにより、コミット前に情報漏洩を防止します。CI/CDの品質ゲートは、開発者の作業速度を維持しつつ、リスクの高いマージを防止します。
正確な
SonarQubeの機密情報検出機能は、誤検知率5%未満を実現しています。これは精度を確保し開発者の信頼を維持する上で極めて重要です。一貫してノイズの少ない検出結果により、チームは迅速に対応でき、アラート疲労を軽減し、不要な障害なくCI/CDパイプラインを継続的に稼働させられます。
信頼できる
SonarQubeのシークレット検出エンジンは、処理が長引いた場合に自動的に終了する組み込みの安全装置により、暴走やオーバーフローを回避します。この設計による安定性により、スキャンが予測可能に保たれ、CI/CDパイプラインのスループットが維持され、開発者がハングや過剰な分析によってブロックされることがありません。
オープンソース
SonarQubeの機密情報検出コードとルールは、コミュニティからの貢献を目的としてオープンソースとして公開されています。透明性の高いルール定義により、迅速な改善、広範なカバレッジ、開発者とセキュリティチーム双方に利益をもたらすベストプラクティスの共有が実現します。貢献方法はこちら!
統合された
Secrets検出機能はSonarQube for IDEに無料で付属し、SonarQube ServerおよびSonarQube Cloudの商用版にも追加費用なしで含まれます。追加ライセンスなしで開発者を迅速に活用可能にし、チーム間およびCI/CDパイプライン全体での導入を簡素化します。
ガバナンス
エクスポート可能なレポート、過去の傾向、追跡可能な是正活動により予防的制御を実証します。CI/CDパイプラインのチェック、一貫したポリシー、文書化された結果に関する明確な証拠を監査人に提供し、コンプライアンス審査を簡素化します。
企業固有のシークレット漏洩を防ぐ
公開されているシークレットはシークレットの大部分をカバーしますが、構造や形式が自社固有の企業固有シークレットも少なくありません。SonarQube Server Enterprise EditionおよびData Center Editionでカスタムルールを作成し、自社の非公開シークレットパターンを検出。最大100%のシークレット検出カバレッジを実現します。

最も包括的な予防ソリューション
Sonarは、シークレットを含むコードを開発者に教育することで一歩先を行きます。各シークレット検出ルールには、検出されたコードセグメントがシークレットである理由と、そのシークレットがセキュリティリスクをもたらす影響の詳細を説明するコンテンツが含まれています。これで開発者は、コードにシークレットを含めない方法を理解できます。素晴らしいと思いませんか?

