メインコンテンツへスキップ
Git の履歴に残ったシークレットは、あらゆる攻撃者の手に渡ったも同然です。この定期実行の自動化は、誤ってコミットされた認証情報 (APIキー、アクセストークン、非公開鍵、接続文字列) がないかリポジトリをスキャンし、緊急対応チケットを起票し、ローテーションの手順を案内します。これにより、漏えいがインシデントに発展する前に発見できます。

このテンプレートを利用する

Devin で シークレットスキャナー を開き、デフォルト設定で自動化を作成します。保存する前にカスタマイズできます。

この自動化で行うこと

単発のスキャナーとは異なり、この自動化は継続的に実行され、確認、認証情報のローテーション、ローテーションの検証、Git の履歴からのシークレットの削除といった、人が介在して進められるワークフローを含みます。Devin が各ステップを進行するため、チームがローテーションのプレイブックを覚えておく必要はありません。

動作の仕組み

トリガー: スケジュールイベントrecurring
  • イベント: schedule:recurring
    • 条件:
      • rruleFREQ=DAILY;BYHOUR=9;BYMINUTE=0 に一致する
Devinが行うこと: イベントの前提情報をすべて含むセッションを開始し、以下のプロンプトを実行して、必要に応じて失敗時に通知します。

事前準備

プロンプト例

このテンプレートにはこのプロンプトが含まれています。Use template をクリックした後で編集することも、そのまま使うこともできます。

設定手順

  1. Devin で Automations → Templates を開きます。
  2. シークレットスキャナー をクリックします。このテンプレートが事前入力された作成画面が開きます。
  3. まだ済ませていない場合は、必要な統合 を接続し、MCP サーバーをインストールします。
  4. トリガー条件内のプレースホルダー値を置き換えます (たとえば、your-org/your-repo を実際の repo に置き換えます) 。
  5. プロンプトを確認し、チームの文体、慣例、ガードレールに合わせて調整します。
  6. Create automation をクリックします。
ほとんどの自動化テンプレートには、初期のロールアウト時にコストを抑えるための 推奨 ACU と呼び出し上限 が含まれています。自動化の挙動に十分な確信が持てるまではそのままにしておき、問題なければワークロードに合わせて引き上げてください。

このテンプレートを利用する場面

  • 誤ってコミットされたシークレットを事前に検出したい場合
  • レガシーなリポジトリを、より厳格なシークレットスキャンのポリシーに移行する場合
  • シークレットのローテーションを文書化しておく必要があるコンプライアンスプログラム
  • 公開漏えい後のインシデント対応後に一斉点検を行う場合

カスタマイズのアイデア

  • どのシークレットのパターンを重視するかを設定する (AWS、Stripe、Slack、社内)
  • シークレットマネージャーと連携して、ローテーション手順を自動化する
  • 対象を特定のリポジトリやブランチに絞る
  • 重大な検出事項をインシデント対応用のチャンネルに送る

関連項目