🌐 GitHub App を作成するためのベストプラクティス - GitHub Docs

必要な最低限のアクセス許可を選択する

GitHub App を登録するときは、GitHub App に必要な最小限のアクセス許可を選択します。アプリのキーまたはトークンが侵害された場合、こうすることで発生する可能性のある損害の量を制限できます。アクセス許可の選択方法の詳細については、「GitHub アプリのアクセス許可を選択する」を参照してください。

GitHub App でインストールアクセストークンやユーザーアクセストークンを作成する際に、アプリがアクセスできるリポジトリとトークンに与えるアクセス許可をさらに制限できます。詳細については、「GitHub アプリのインストールアクセストークンの生成」および「GitHub アプリのユーザーアクセストークンの生成」を参照してください。

レート制限を超えないようにする

API でデータをポーリングする代わりに、Webhook イベントをサブスクライブします。こうすることで、GitHub App が API レート制限を超えないようにできます。詳細については、「GitHub Apps での Webhook の使用」および「Webhook イベントに応答する GitHub App の構築」を参照してください。

レート制限を超えないようにするのに役立つ条件付き要求を使用することを検討してください。条件付きの要求の詳細については、「REST API を使用するためのベストプラクティス」を参照してください。

可能であれば、REST API 要求ではなく統合 GraphQL クエリを使用して、レート制限を超えないようにすることを検討してください。詳細については、「GitHub の REST API と GraphQL API の比較」および「GitHub GraphQL API に関するドキュメント」を参照してください。

レート制限に達し、API 要求を再試行する必要がある場合は、x-ratelimit-reset または Retry-After の応答ヘッダーを使用します。これらのヘッダーが利用できない場合は、再試行の間の時間が指数関数的に増えるのを待機し、再試行を特定の回数実施後にエラーをスローします。詳しくは、「REST API を使用するためのベストプラクティス」をご覧ください。

アプリの資格情報をセキュリティで保護する

GitHub App の秘密キーとクライアントシークレットを生成できます。秘密キーはインストールアクセストークンを生成するために使用され、クライアントシークレットはユーザーアクセストークンと更新トークンを取得するために使用されます。これらのトークンを使用すると、アプリのインストールまたはユーザーに代わって API 要求を実施できます。

秘密キー、トークン、クライアントシークレットを安全に格納する必要があります。ただし、ストレージメカニズムとその相対的なセキュリティは、統合アーキテクチャと稼働するプラットフォームによって異なります。一般に、使用中のプラットフォームに機密データを保存することを目的とした保存方法を使用する必要があります。

秘密キー

GitHub App の秘密キーは、アプリがインストールされるすべてのアカウントへのアクセスを許可します。安全に格納し、広く共有されないようにする必要があります。****。

GitHub App の秘密キーを Azure Key Vault などのキーコンテナーに保存し、署名専用にすることを検討してください。

または、キーを環境変数として格納することもできます。ただし、これはキーコンテナーにキーを保存するほど強力ではありません。攻撃者が環境へのアクセス権を獲得した場合、秘密キーを読み取り GitHub App として永続的な認証を受けることができます。

コードがプライベートリポジトリに保存されている場合でも、アプリに秘密キーをハードコーディングしないでください。アプリがネイティブクライアント、クライアント側アプリ、またはユーザーデバイス上で実行される (サーバー上での実行ではなく) 場合、アプリに秘密キーを同梱しないでください。

必要以上に多くの秘密キーを生成しないでください。使用されなくなった秘密キーは削除する必要があります。詳しくは、「GitHub Apps の秘密キーの管理」をご覧ください。

クライアントシークレット

アプリがデバイスフローを使わない限り、アプリのユーザーアクセストークンを生成するにはクライアントシークレットが必要です。詳しくは、「GitHub アプリのユーザーアクセストークンの生成」をご覧ください。

アプリが機密クライアントである場合、つまりクライアントシークレットを安全にセキュリティで保護された状態で保持できる場合は、クライアントシークレットを Azure Key Vault などのキーコンテナーに保存するか、暗号化された環境変数またはサーバー上のシークレットとして格納することを検討してください。

アプリがパブリッククライアント (ユーザーのデバイスで実行されるネイティブアプリ、CLI ユーティリティ、または単一ページ Web アプリケーション) である場合、クライアントシークレットをセキュリティで保護することはできません。アプリケーションのコードにクライアントシークレットを組み込む必要があり、認証フローをより安全にするために PKCE を使う必要があります。パブリッククライアントは簡単になりすましができる、つまり、誰でもアプリのクライアント ID を再利用してサインインできるため、アプリで生成されたトークンに基づいて独自のサービスへのアクセスをゲートする予定の場合は注意が必要です。

理由なしにデバイスフローを有効にしない

パブリッククライアントでのクライアントシークレットの使用が懸念される場合は、デバイスフローよりも PKCE を使った認証コードを使うことをお勧めします。デバイスフローではリダイレクト URI はまったく必要ありません。つまり、攻撃者はデバイスフローを使って、フィッシング攻撃の一環としてリモートからアプリを偽装することができます。このため、制約のある環境 (CLI、IoT デバイス、ヘッドレスシステム) でアプリを使っている場合を除き、アプリケーションでデバイスフローを有効にしないでください。

インストールアクセストークン、ユーザーアクセストークン、および更新トークン

インストールアクセストークンを使用すると、アプリのインストールに代わって API 要求を実施できます。ユーザーアクセストークンを使用すると、ユーザーに代わって API 要求を実施できます。更新トークンを使用すると、ユーザーアクセストークンを再生成できます。アプリは秘密キーを使用することで、インストールアクセストークンを生成できます。アプリはクライアントシークレットを使用することで、ユーザーアクセストークンと更新トークンを生成できます。

アプリが Web サイトや Web アプリの場合は、バックエンドでトークンを暗号化し、トークンにアクセスできるシステムのセキュリティを確保する必要があります。アクティブなアクセストークンとは別の場所に更新トークンを保存することを検討してください。

アプリがネイティブクライアントやクライアント側アプリの場合、またはユーザーデバイスで稼働している (サーバー上で稼働しているのではなく) 場合は、トークンとサーバー上で稼働するアプリをセキュリティ保護できないことがあります。これを行うには秘密キーが必要なため、インストールアクセストークンを生成しないでください。その代わりに、ユーザーアクセストークンを生成する必要があります。アプリのプラットフォームに推奨される方法を使用してトークンを保存する必要があり、保存方法が完全に安全ではないことがあることに注意してください。

適切なトークンの種類を使用する

GitHub Apps は、認証された API 要求を行うため、インストールアクセストークンまたはユーザーアクセストークンを生成できます。

インストールアクセストークンはアクティビティをアプリに関連付けます。これらは、ユーザーに関係なく動作する自動化機能に役立ちます。

ユーザーアクセストークンはアクティビティをユーザーとアプリに関連付けます。これらは、ユーザーによる入力に基づくアクションやユーザーの代理のアクションを実行する場合に役立ちます。

インストールアクセストークンは、GitHub App のアクセス許可とアクセスに基づいて制限されます。ユーザーアクセストークンは、GitHub App のアクセス許可とアクセスおよびユーザーのアクセス許可とアクセスの両方に基づいて制限されます。したがって、GitHub App がユーザーの代理のアクションを実行する場合は、インストールアクセストークンではなく常にユーザーアクセストークンを使用する必要があります。そうでない場合、アプリを通じてユーザーが表示・実行できない操作を表示・実行できる場合があります。

アプリでは、認証に personal access token または GitHub パスワードを使用しないでください。

認可を徹底的に、永続的に、頻繁にチェックする

ユーザーにサインインした後、アプリ開発者は追加の手順を実行して、ユーザーがシステム内のデータにアクセスできるようにする必要があります。メンバーシップ、アクセス、現在の SSO 状態のすべてが、アプリケーションとその保護対象であるリソースへのアクセスを許可していることを定期的にチェックする必要があります。

永続的で一意の `id` を使用してユーザーを格納する

ユーザーがサインインしてアプリケーションでアクションを実行するときは、次回サインインしたときに同じリソースへのアクセス権を付与するために、どのユーザーがそのアクションを実行したかを覚えておく必要があります。

ユーザーをデータベースに正しく格納するには、常にユーザーの id を使用します。この値は、ユーザーに対して変更されることも、別のユーザーを指し示すために使用されることもないため、意図したユーザーへのアクセスを確実に提供できます。ユーザーの id を GET /user REST API エンドポイントで確認できます。「ユーザーの REST API エンドポイント」を参照してください。

リポジトリ、組織、および企業へのリファレンスを格納する場合は、それらの id を使用して、リンクが正確であることを確認します。

ユーザーハンドル、組織の置換フィールド、メールアドレスなど、時間の経過に伴い変化する可能性のある識別子を 絶対に 使用しないでください。

新しい認証ごとに組織へのアクセスを検証する

ユーザーをサインインさせるときは、ユーザーのトークンがどの organization に対して認可されているかを追跡する必要があります。これは、サインイン後の時間が経過してユーザーが organization から削除されたときに変化する可能性があります。組織が SAML SSO を使用していて、ユーザーが SAML SSO を実行していない場合、ユーザーアクセストークンはその組織にアクセスできません。 GET /user/installations REST API エンドポイントを定期的に使って、ユーザーアクセストークンがアクセスできる organization を確認することをお勧めします。ユーザーが organization へのアクセスを許可されていない場合は、そのユーザーが SAML SSO を実行するか、organization に再参加するまで、自身のアプリケーション内で organization が所有するデータへのアクセスを禁止する必要があります。詳しくは、「GitHub Appインストール用 REST API エンドポイント」をご覧ください。

organization コンテキストと Enterprise コンテキストを使用してユーザーデータを格納する

id フィールドを使用してユーザー ID を追跡するだけでなく、各ユーザーが操作している組織または企業のデータを保持する必要があります。これにより、ユーザーがロールを切り替えた場合に、機密情報が漏えいしないようにすることができます。

次に例を示します。

ユーザーは、SAML SSO を必要とする Mona 組織にいて、SSO の実行後にアプリにサインインします。これで、アプリはユーザーが Mona 内で行うあらゆるものにアクセスできるようになりました。
ユーザーは、Mona 内のリポジトリから多数のコードを抜き取り、分析するためにアプリに保存します。
その後、ユーザーはジョブを切り替え、Mona 組織から削除されます。

ユーザーがアプリにアクセスしても、ユーザーアカウントに Mona 組織のコードと分析をまだ表示できますか?

このため、アプリが保存しているデータのソースを追跡することが重要です。それ以外の場合、アプリは組織のデータ保護にとって脅威であり、アプリがデータを正しく保護しているか信頼できない場合は、そのアプリを禁止する可能性があります。

トークンを期限切れにする

GitHub では、有効期限があるユーザーアクセストークンを使用することを強くお勧めします。以前に有効期限があるユーザーアクセストークンの使用をオプトアウトしたものの、この機能を再び有効化したい場合は、「GitHub アプリのオプション機能のアクティブ化」を参照してください。

インストールアクセストークンは 1 時間後に期限切れになり、有効期限があるユーザーアクセストークンは 8 時間後に期限切れになり、更新トークンは 6 か月後に期限切れになります。ただし、不要になったトークンはすぐに取り消すこともできます。詳細については、インストールのアクセストークンを取り消す場合は「DELETE /installation/token」、ユーザーアクセストークンを取り消す場合は「DELETE /applications/{client_id}/token」を参照してください。

トークンをキャッシュする

ユーザーアクセストークンとインストールアクセストークンは期限切れまで使用されます。作成したトークンはキャッシュしてください。新しいトークンを作成する前に、有効なトークンが残っていないか、キャッシュを確認してください。トークンを再利用すれば、トークン生成要求の数が減るため、アプリがそれだけ速くなります。

セキュリティ侵害を処理するための計画を立てる

セキュリティ侵害をタイムリーに処理できるように、計画を立てる必要があります。

アプリの秘密キーやシークレットが侵害された場合は、新しいキーやシークレットを生成し、新しいキーまたはシークレットを使用するようにアプリを更新し、古いキーやシークレットを削除する必要があります。

インストールアクセストークン、ユーザーアクセストークン、または更新トークンが侵害された場合は、直ちにこれらのトークンを取り消す必要があります。詳細については、インストールのアクセストークンを取り消す場合は「DELETE /installation/token」、ユーザーアクセストークンを取り消す場合は「DELETE /applications/{client_id}/token」を参照してください。

定期的な脆弱性スキャンを実施する

アプリで定期的な脆弱性スキャンを実行する必要があります。たとえば、アプリのコードをホストするリポジトリに対して、コードスキャンとシークレットスキャンを設定できます。詳細については、「コードスキャンについて」および「シークレットスキャンについて」を参照してください。

適切な環境を選択する

アプリがサーバー上で稼働している場合は、サーバー環境がセキュリティ保護され、アプリで予想される量のトラフィックを処理できることを確認します。

アプリに必要な Webhook イベントのみをサブスクライブします。これにより、アプリが必要としないペイロードを受信しないため、待機時間を短縮できます。

Webhook シークレットを使用する

GitHub App の Webhook シークレットを設定し、受信 Webhook イベントの署名がシークレットと一致することを確認する必要があります。これにより、受信 Webhook イベントが有効な GitHub イベントであることを確認できます。

詳しくは、「GitHub Apps での Webhook の使用」をご覧ください。例については、「Webhook イベントに応答する GitHub App の構築」を参照してください。

ユーザーが新しいアクセス許可を受け入れる時間を与える

GitHub App にリポジトリや組織へのアクセス許可を追加すると、個人用アカウントまたは組織にアプリがインストールされているユーザーに新しいアクセス許可の確認を求める電子メールが届きます。ユーザーが新しいアクセス許可を承認するまで、アプリのインストールは古いアクセス許可しか受け付けません。

アクセス許可を更新する際には、アプリに下位互換性を持たせることで、ユーザーに新しいアクセス許可を受け入れる時間を与えることを検討する必要があります。インストール Webhook と new_permissions_accepted アクションプロパティを使用すると、ユーザーがアプリの新しいアクセス許可を受け入れるタイミングを確認できます。

安全な方法でサービスを使用する

アプリでサードパーティのサービスを利用する場合は、セキュリティで保護された方法で利用する必要があります。

アプリで利用するすべてのサービスでは、固有のログイン情報とパスワードを指定する必要があります。
アプリケーションは、SaaSサービスを管理するためのメールやデータベースサービスのようなサービスアカウントを共有するべきではありません。
管理業務を行う従業員のみが、アプリをホストするインフラストラクチャへの管理者アクセス権を持つ必要があります。

ログと監視を追加する

アプリにログ記録と監視機能を追加することを検討してください。セキュリティログには、以下が含まれている場合があります。

認証及び認可イベント
サービス設定の変更
オブジェクトの読み書き
ユーザーとグループのアクセス許可の変更
ロールの管理者への昇格

ログでは、各イベントで一貫したタイムスタンプを使う必要があります。また、ログに記録されたすべてのイベントのユーザー、IP アドレス、ホスト名を記録する必要があります。

データの削除を有効にする

他のユーザーや組織が GitHub App を使用できる場合は、ユーザーと組織の所有者が自分のデータを削除できる方法を提供する必要があります。ユーザーは、自分のデータを削除するためにサポート担当者にメールしたり、電話したりする必要がないようにすべきです。

GitHub App を作成するためのベストプラクティス

この記事の内容