logo_mark-color.png
コーポレートサイト
Home
FAQ
  • Aikidoのコード保存ポリシーについて

Aikidoのコード保存ポリシーについて

Timer1 min read
利
利英

要約:Aikidoは解析終了後、コードを保存しません。

  • SASTや秘密情報検知(Secrets Detection)の際は一時的にgit cloneを行いますが、以下の技術的対策でコードを保護しています。
  • 一時的なスキャン環境 各リポジトリのスキャンは個別のDockerコンテナで実行します。解析後はデータを消去し、コンテナを即座に破棄します。
  • 強固な権限管理 GitHub連携にはGitHub Appを使用しており、アクセストークンはDBに保存しません。万が一AikidoでDB流出が起きても、ソースコードがダウンロードされることはありません。
  • 最小限のアクセス権限 デフォルトは読み取り専用です。Autofixなどの書き込みが必要な機能を使う場合のみ、権限をリクエストします。
  • ローカルスキャナー コードを一切外部に出したくない場合はLocal Scannerが利用可能です。結果のみをAikidoプラットフォームに同期できます。
  • セキュリティ認証 SOC2 Type 2およびISO27001を取得済みです。詳細はレポートをご確認ください。
  • データ保存場所 AWSを利用し、データはEUおよび米国リージョン内に限定して処理・保存されます。


スキャンのワークフロー

リポジトリ選択 → クローン → スキャン → 結果の暗号化 → コンテナ破棄 **例外的にコードが保存されるケース** 以下の機能を利用する場合に限り、一部のコードが保存されます。

  • AutoFix: 修正対象のファイルの差分(修正前後のコード)を保存します。
  • AutoTriage: SASTで見つかった問題のコールツリーを最大2週間保存します。 ※保存対象のコードは事前にGitleaksでスキャンし、明らかな秘密情報が含まれる場合は保存を回避します。

Powered By SparrowDesk