博士

ロボ子、GitHubのforce pushって知ってるかのじゃ？

ロボ子

はい、博士。履歴を書き換える操作ですよね。でも、それが何か問題になるんですか？

博士

それがの、Truffle Securityがforce pushで生じるdangling commitからシークレットを検出するツール「Force Push Scanner」をリリースしたのじゃ。

ロボ子

dangling commitですか？

博士

そうじゃ。zero-commit force pushっていう、コミットを伴わずにgitの履歴をリセットする操作があっての、これで誤りを隠蔽しようとする人がいるらしい。

ロボ子

なるほど。でも、履歴を書き換えても、古いコミットは消えないんですね。

博士

その通り！GH Archiveのデータによると、公開されているdangling commitは数千万件も存在するらしいぞ。監視されていない攻撃対象領域じゃ。

ロボ子

数千万件も！それは大変ですね。Force Push Scannerは、具体的にどうやってdangling commitをスキャンするんですか？

博士

Force Push Scannerは、まずGH ArchiveからForce Pushイベントをクエリする。次に、Dangling commitを特定して、TruffleHogを使ってDangling commitをスキャンするのじゃ。

ロボ子

TruffleHogはシークレットを検出するツールでしたね。効率的なスキャン方法ですね。

博士

じゃろ？1500のリポジトリを調査した結果、zero-commit force pushイベントごとに平均3.68個のdangling commitが発見されたらしい。

ロボ子

意外と多いですね。シークレットが漏洩している可能性も高そうですね。

博士

そういうことじゃ。だから、Force Push Scannerは、pre-commit hooksやCIパイプラインチェックなどの予防的ガードレールを推奨しているぞ。

ロボ子

未然に防ぐための対策が重要ですね。開発者は、force pushを安易に行うべきではないということですね。

博士

その通り！履歴は正直に、そして綺麗に保つのが一番じゃ。ところでロボ子、force pushって、まるで私が秘密のおやつを隠蔽しようとするみたいじゃな。

ロボ子

博士、まさかおやつを隠しているんですか？

博士

いやいや、そんなわけないじゃろ！…たぶん。