이 가이드에서는 기존 또는 평가판 GitHub Advanced Security 엔터프라이즈 계정의 GitHub Advanced Security 평가판을 계획하고 시작했다고 가정합니다. GitHub Advanced Security의 평가판 계획을(를) 참조하세요.
소개
Secret scanning 기능은 모든 퍼블릭 리포지토리에서와 마찬가지로 GitHub Advanced Security를 사용하도록 설정된 프라이빗 및 내부 리포지토리에서도 동일한 방식으로 작동합니다. 이 문서에서는 GitHub Advanced Security를 사용할 때 보안 유출로부터 비즈니스를 보호하는 데 사용할 수 있는 추가 기능에 중점을 둡니다. 즉,
- 사용하는 추가 액세스 토큰을 식별합니다.
- AI를 사용하여 잠재적인 암호를 검색합니다.
- 푸시 보호를 위한 바이패스 프로세스를 제어하고 감사합니다.
- 노출된 토큰에 대한 유효성 검사를 사용하도록 설정합니다.
secret scanning을 위한 보안 구성
대부분의 엔터프라이즈는 secret scanning을 사용하도록 설정하고 이러한 기능이 활성화된 보안 구성을 적용하여 모든 리포지토리에 보호 기능을 푸시합니다. 이를 통해 사용자가 GitHub에서 토큰을 유출하려고 할 때 플래그를 지정하는 것 외에도 리포지토리에서 이미 GitHub에 추가된 액세스 토큰을 확인할 수 있습니다. 엔터프라이즈 수준의 보안 구성을 만들고 테스트 리포지토리에 이를 적용하는 방법에 대한 자세한 내용은 평가판 엔터프라이즈에서 보안 기능 사용 설정을(를) 참조하세요.
secret scanning의 결과를 볼 수 있는 액세스 권한 제공
기본적으로 리포지토리 관리자와 조직 소유자만 해당 영역에서 모든 secret scanning 경고를 볼 수 있습니다. 평가판 체험 중에 발견된 경고에 액세스하려는 모든 조직 팀과 사용자에게 미리 정의된 보안 관리자 역할을 할당해야 합니다. 또한 엔터프라이즈 계정 소유자에게 평가판의 각 조직에 대해 이 역할을 부여할 수도 있습니다. 자세한 내용은 조직의 보안 관리자 관리을(를) 참조하세요.
엔터프라이즈의 Code security 탭에서 평가판 엔터프라이즈의 조직에서 찾은 결과에 대한 요약을 볼 수 있습니다. 각 보안 경고 유형에 대한 별도의 보기도 있습니다. 보안 인사이트 보기을(를) 참조하세요.
추가 액세스 토큰을 식별합니다.
사용자 지정 패턴을 만들어 리포지토리, 조직, 엔터프라이즈 수준에서 추가 액세스 토큰을 식별할 수 있습니다. 대부분의 경우 패턴이 엔터프라이즈 전체에서 사용되도록 하려면 엔터프라이즈 수준에서 사용자 지정 패턴을 정의해야 합니다. 또한 토큰 형식이 변경될 때 패턴을 업데이트해야 하는 경우에도 쉽게 유지 관리할 수 있습니다.
사용자 지정 패턴을 만들고 게시한 후에는 secret scanning 및 푸시 보호 모두 자동으로 모든 검사에 새 패턴을 포함합니다. 사용자 지정 패턴을 만드는 방법에 대한 자세한 내용은 비밀 검사를 위한 사용자 지정 패턴 정의을(를) 참조하세요.
AI를 사용하여 잠재적인 암호 검색
엔터프라이즈 수준에서 정규식으로 식별할 수 없는 비밀(일반 비밀 또는 비공급자 패턴으로도 알려짐)을 감지하기 위해 AI 사용 여부를 완전히 제어할 수 있습니다.
- 전체 엔터프라이즈의 기능을 켜거나 끕니다.
- 조직 및 리포지토리 수준에서 기능 제어를 차단하는 정책을 설정합니다.
- 조직 소유자 또는 리포지토리 관리자가 기능을 제어할 수 있도록 정책을 설정합니다.
사용자 지정 패턴과 마찬가지로 AI 감지를 활성화하면 secret scanning과 푸시 보호 모두 모든 검색에서 AI 감지를 사용하여 자동으로 시작됩니다. 엔터프라이즈 수준 제어에 대한 자세한 내용은 엔터프라이즈에 대한 추가 비밀 검사 설정 구성 및 엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을(를) 참조하세요.
바이패스 프로세스 제어 및 감사
푸시 보호에서 GitHub Advanced Security 없이 퍼블릭 리포지토리의 GitHub에 대한 푸시를 차단하는 경우 사용자에게는 제어를 우회하거나 분기 및 해당 기록에서 강조 표시된 콘텐츠를 제거하는 두 가지 간단한 옵션이 있습니다. 푸시 보호를 우회하도록 선택한 경우 secret scanning 경고가 자동으로 생성됩니다. 이렇게 하면 개발자는 secret scanning으로 식별된 콘텐츠에 대한 감사 내역을 계속 제공하면서 작업을 신속하게 차단 해제할 수 있습니다.
대규모 팀에서는 일반적으로 액세스 토큰 및 기타 비밀의 잠재적 게시를 보다 엄격하게 제어하려고 합니다. GitHub Advanced Security를 사용하면 푸시 보호를 우회하는 요청을 승인하는 검토자 그룹을 정의하여 개발자가 실수로 아직 활성 상태인 토큰을 유출할 위험을 줄일 수 있습니다. 검토자는 조직 수준의 보안 구성 또는 리포지토리에 대한 설정에서 정의됩니다. 자세한 내용은 푸시 보호를 위한 위임 바이패스 정보을(를) 참조하세요.
유효성 검사 사용
유효성 검사를 사용하도록 설정하여 감지된 토큰이 리포지토리, 조직, 엔터프라이즈 수준에서 여전히 활성 상태인지 확인할 수 있습니다. 일반적으로 엔터프라이즈 또는 조직 수준 보안 구성을 사용하여 전체 엔터프라이즈에서 이 기능을 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 리포지토리에 대한 유효성 검사 사용을(를) 참조하세요.
다음 단계
GitHub Advanced Security에서 사용할 수 있는 secret scanning에 대한 추가 제어 기능을 사용하도록 설정한 경우 비즈니스 요구 사항에 맞게 테스트하고 더 자세히 살펴볼 준비가 된 것입니다. code scanning을 시험해 볼 준비가 되어 있을 수도 있습니다.