Googleは、特にGCP環境での機密認証情報の漏洩を検知するために設計された、軽量でオープンソースのシークレットスキャンモジュールVelesをリリースしました。これはOSV-SCALIBR(ソフトウェア構成解析およびライセンスベースリスク)プラットフォームと直接統合されており、現在はGoogle Cloud APIキー、サービスアカウント認証情報、RubyGemsキーを対象としています。
Velesが他のスキャナーと異なるのは、単なるスキャナーであることではなく、Googleの依存関係やパッケージスキャンパイプライン内で構造化されたエコシステム統合をサポートするために特化して設計されている点です。そのため、すでにOSV-SCALIBRやdeps.devを利用しているDevSecOpsパイプラインには効率的に組み込むことができます。
主な特徴
- Google APIキー、サービスアカウントキー、RubyGemsトークンを検出
- システムへの負荷が少なく、高速なスキャン
- パーミッシブなライセンスによる完全なオープンソース
deps.devやCI/CDパイプラインなどGoogle Cloudのツールと統合可能
インストールと使用方法
Velesは現在、OSV-SCALIBRエコシステムのモジュールとして組み込まれています。使用するには、リポジトリをクローンし、パイプラインやプロジェクト分析でスキャナーを有効化してください:
|
git clone https://github.com/google/osv-scalibr.git cd osv–scalibr # Velesスキャンを実行 python3 –m osv_scalibr.scan —secrets your_project_path/ |
期待される出力には、検出された認証情報とその関連するコンテキスト、ファイル名、トークンタイプが含まれます。
なぜ重要なのか
ほとんどの開発チームはすでにGitleaksやdetect-secretsのようなシークレットスキャンツールに依存しています。Velesが際立っているのは、Googleの内部ツールやGCPエコシステムとの強い連携にあります。これにより、ソフトウェアサプライチェーンのセキュリティ強化に貢献し、認証情報の漏洩を本番環境やソース管理に到達する前のビルドプロセスの早い段階で検知しやすくなります。
また、過剰な一般用途の正規表現バンドルに頼らず、エコシステムの文脈を考慮して特化して作られたセキュリティツールの好例でもあります。
レッドチーム&ブルーチームへの関連性
レッドチームの視点から見ると、Velesのようなツールは、防御側がインフラレベルで自動化された認証情報スキャンを統合するほど成熟していることを示しています。つまり、攻撃者が公開リポジトリ内の平文シークレットを見逃される可能性が低くなります。
ブルーチームや開発者にとっては、Velesはシフトレフトパイプラインのもう一つの要素であり、開発サイクルの早い段階でセキュリティを強化し、GCP認証情報の漏洩による完全な侵害や、サービスの誤用による莫大なクラウド請求を防ぐことができます。
制限事項
- 現在はGCPおよびRubyGemsのシークレットに限定されています。
- 他のクラウドプロバイダーやJWT、SSHキーなどの汎用的なシークレットには(まだ)対応していません。
- デフォルトのランタイム監視やGitフックには(まだ)対応していません。
とはいえ、まだ初期段階であり、VelesはGoogle内部で採用が進んでいるようなので、今後より広範なサポートが期待できます。
詳細やVelesの有効化については、OSV-SCALIBRのこちらをご覧ください:https://github.com/google/osv-scalibr
読者とのやりとり
翻訳元: https://www.darknet.org.uk/2025/08/veles-googles-open-source-secret-scanner-for-gcp-key-detection/