GitHub 社内の Secret Scanning 運用事例記事。15,000+ リポジトリで 20,000+ 件のアラートを 9 か月でゼロにするまでの段階的プロセスを公開している
- 初期アラートの 90%(18,000 件)はテストフィクスチャ由来のノイズ。5 リポジトリが全ノイズの大半を占めた
- 検出後の「ルーティング」が最大の課題。PAT などのクレデンシャル有効性確認・オーナーシップ特定・プレイブック整備の順で系統化した
- Push Protection を組織全体に強制適用(オプトアウト不可)することで再流入を防止
- DevSecOps の実践例: 検出自動化に留まらず修復ワークフロー全体を自動化することが重要であると結論付けている
- 8 教訓: 生の件数を信用しない・組織横断で強制適用・クレデンシャル有効性確認を先行・メタデータ充実・永続的オーナーシップ基盤・検出後ワークフロー自動化・健全性メトリクス化・意思決定フレームワーク文書化