MongoDBがオープンソースの秘密スキャナー「Kingfisher」を発表

MongoDBは、APIキー、トークン、認証情報などの秘密がコード内に漏洩すると、システムが攻撃者に利用されるリスクが高まることを踏まえて、新たなオープンソースツール「Kingfisher」を発表しました。Kingfisherは、コード、ファイルシステム、Git履歴に隠れた秘密を検出するためのツールで、MongoDBの開発チームが迅速かつ信頼性の高い方法で露出した認証情報を特定し、セキュリティリスクを事前に防ぐために作成されました。

このツールは、見つかった秘密を検証する機能も備えており、サポートされているサービスの秘密について、どのキーがまだアクティブで危険かを開発者に通知します。MongoDBは開発および展開プロセスの中でKingfisherを内部的に利用しており、露出した秘密を早期に検出し、修正するために役立てています。