製薬企業からGitHub上に認証情報等が残ったままコードがアップされ、患者さんの機微情報に第三者がアクセスしうる事態がおこったという報道が出ていました。
OSSライセンスの要請、コミュニティへの貢献、技術者の採用や維持等の理由で、近年はソースコード等をGitHub等に公開することが増えました。
今回ニュースになっているAstraZenecaもGitHub上にいくつかソースコードをアップしている製薬企業で、報道によると自社アプリに関係するコードをGitHub上にアップしたところ、認証情報等が残ったままコードがアップされ、患者さんの機微情報に第三者がアクセスしうる状態になっていたようです。
GitHubを介した情報漏洩は近年多く起こっているそうです。
例えば、サムスン、ClearView AI、GitHubの親会社であるMicrosoftの名前も挙がっています。パスワード等がソースコードに残ってしまっている事例も多くあるようです。
ソースコード上の機密情報の管理は、従来の公表を管理する部門が管理しづらい内容かもしれません。しかし、ソースコードの開示は企業がデジタル化する際には避けられない場合もありますので、今後はコードをレビューする能力・体制の拡充もデジタル化の先には必要かもしれないですね。
