GitHub App の秘密鍵を AWS KMS に閉じ込める

GitHub App の秘密鍵を AWS KMS に閉じ込める
ARANK

はじめにこんにちは konippi です。2026 年 3 月、脆弱性スキャナーのTrivy が侵害されたことは大きなニュースとなりました。攻撃者は GitHub Actions ワークフローの設定 pull_request_target を悪用して PAT を窃取し、Trivy の公式リリースにクレデンシャルスティーラーを注入。数千の CI/CD パイプラインに影響を与えました。同時期に axios の npm パッケージ侵害や、 prt-scan キャンペーンも発生しています。これらに共通するのは、信頼されたソフトウェアサプライチェーンの一部が侵害され、ソフトウェアの配布チャネルを通じて被害が大規模に伝搬するという構造です。中でも Trivy と prt-scan は、GitHub Actions の pull_request_target トリガーの設定不備を起点とした攻撃でした。prt-scan はこの設定不備を直接悪用してシークレットを窃取し、Trivy の場合は初期侵害で窃取された認証情報の不完全なローテーションにより、公式リリースの改ざんにまで発展しました。GitHub App の秘密鍵も例外ではありません。GitHub 公式ドキュメントが秘密鍵を "the single most valuable secret for a GitHub App" と表現しているように、秘密鍵は GitHub App が持つ全権限…

zenn.dev 18 days ago

Open page

https://zenn.dev/aws_japan/articles/b311c3710826a6