비밀 스캔에서 경고 보기 및 필터링

리포지토리에 대한 사용자에 대한 비밀 검사 경고를 찾고 필터링하는 방법을 알아봅니다.

누가 이 기능을 사용할 수 있나요?

People with admin access to a repository can view 사용자에 대한 비밀 검사 경고 for the repository.

파트너에 대한 비밀 검사 경고은(는) 공용 리포지토리 및 공용 npm 패키지에서 자동으로 실행되어 GitHub에서 비밀이 유출된 것을 서비스 공급자에게 알립니다.

사용자에 대한 비밀 검사 경고은(는) 사용자 소유 퍼블릭 리포지토리에서 무료로 제공됩니다. GitHub Enterprise Cloud를 사용하면서 GitHub Advanced Security 라이선스가 있는 조직은 또한 프라이빗 리포지토리와 내부 리포지토리에서 사용자에 대한 비밀 검사 경고을(를) 사용하도록 설정할 수 있습니다. 또한 사용자에 대한 비밀 검사 경고은(는) 을(를) 사용할 수 있으며GitHub Enterprise Cloud에 대한 사용자 소유 리포지토리의 베타Enterprise Managed Users입니다. 자세한 내용은 "비밀 검사 경고 정보" 및 "GitHub Advanced Security 정보"을 참조하세요.

GitHub Advanced Security을(를) 무료로 사용해 보는 방법에 대한 자세한 내용은 "GitHub Advanced Security의 평가판 설정"을 참조하세요.

이 문서의 내용

secret scanning 경고 페이지 정보

리포지토리에서 secret scanning을(를) 사용 설정하거나 secret scanning이(가) 사용 설정된 리포지토리로 커밋을 푸시하면, GitHub에서 서비스 공급자에서 정의한 패턴 및 엔터프라이즈, 조직 또는 리포지토리에 정의된 사용자 지정 패턴과 일치하는 비밀에 대한 콘텐츠를 스캔합니다.

secret scanning에서 비밀을 검색하면 GitHub에서 경고를 생성합니다. GitHub은(는) 리포지토리의 보안 탭에 경고를 표시합니다.

경고를 보다 효과적으로 분류할 수 있도록 GitHub은(는) 경고를 두 개의 목록으로 구분합니다.

  • 높은 신뢰도의 경고.
  • 기타 경고.

secret scanning 경고 보기의 스크린샷입니다. "높은 신뢰도" 경고와 "기타" 경고 간에 전환하는 단추는 주황색 윤곽선으로 강조 표시됩니다.

높은 신뢰도 경고 목록

"높은 신뢰도" 경고 목록에는 지원되는 패턴 및 지정된 사용자 지정 패턴과 관련한 경고가 표시됩니다. 이 목록은 항상 경고 페이지의 기본 보기로 표시됩니다.

기타 경고 목록

"기타" 경고 목록에는 공급자 이외의 패턴(예: 프라이빗 키) 또는 AI(예: 암호)를 사용하여 검색된 일반 비밀과 관련한 경고가 표시됩니다. 이러한 유형의 경고는 가양성의 비율이 높습니다.

또한 이 범주에 속하는 경고는 다음과 같은 특징이 있습니다.

  • 리포지토리당 경고 수량이 5000개(열린 경고 및 닫힌 경고 포함)로 제한됩니다.
  • 보안 개요에 대한 요약 보기에는 표시되지 않고 "Secret scanning" 보기에만 표시됩니다.
  • 공급자가 아닌 패턴의 경우 GitHub에 처음 5개의 검색된 위치 및 AI에서 검색한 제네릭 비밀에 대해 처음으로 검색된 위치만 표시됩니다.

GitHub이(가) 공급자 이외의 패턴을(를) 검색하려면 먼저 리포지토리 또는 조직에 대한 기능을 사용하도록 설정해야 합니다. 자세한 내용은 "공급자가 아닌 패턴에 대해 비밀 스캔 사용" 및 "AI 기반 일반 비밀 검색 사용" 항목을 참조하세요.

경고 보기

secret scanning에 대한 경고는 리포지토리의 보안 탭 아래에 표시됩니다.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.

  4. 필요에 따라 "기타"로 전환하여 공급자 이외의 패턴 또는 AI를 사용하여 검색된 일반 비밀에 대한 경고를 확인합니다.

  5. "Secret scanning" 아래에서 보려는 경고를 클릭합니다.

    Note

    유출된 비밀을 포함하는 리포지토리에 대한 관리자 권한이 있는 사용자만 경고에 대한 보안 경고 세부 정보 및 토큰 메타데이터를 볼 수 있습니다. 엔터프라이즈 소유자는 이 목적을 위해 리포지토리에 대한 임시 액세스를 요청할 수 있습니다.

경고 필터링

관심 있는 경고를 쉽게 찾을 수 있도록 경고 목록에 다양한 필터를 적용할 수 있습니다. 경고 목록 위의 드롭다운 메뉴를 사용하거나 표에 나열된 한정자를 검색 창에 입력할 수 있습니다.

한정자설명
is:open미확인 경고 표시
is:closed확인된 경고 표시
bypassed: true푸시 보호가 무시된 비밀에 대한 경고를 표시합니다. 자세한 내용은 "푸시 보호 정보" 항목을 참조하세요.
validity:active활성화된 것으로 알려진 비밀에 대한 경고를 표시합니다. 유효성 상태 대한 자세한 내용은 "비밀 검사에서 경고 평가" 항목을 참조하세요.
validity:inactive더 이상 활성 상태가 아닌 비밀에 대한 경고를 표시합니다.
validity:unknown유효성 상태를 알 수 없는 비밀에 대한 경고를 표시합니다.
secret-type:SECRET-NAME특정 비밀 유형에 대한 경고를 표시합니다(예: secret-type:github_personal_access_token). 지원되는 비밀 유형의 목록은 "지원되는 비밀 검사 패턴" 항목을 참조하세요.
provider:PROVIDER-NAME특정 공급자에 대한 경고를 표시합니다(예: provider:github). 지원되는 파트너의 목록은 "지원되는 비밀 검사 패턴" 항목을 참조하세요.
confidence:high지원되는 비밀 및 사용자 지정 패턴과 연관된 신뢰도가 높은 비밀에 대한 경고를 표시합니다. 지원되는 높은 신뢰도의 패턴 목록은 "지원되는 비밀 검사 패턴" 항목을 참조하세요.
confidence:other프라이빗 키와 같은 공급자 이외의 패턴(예: 프라이빗 키) 및 AI(예: 암호)를 사용하여 검색된 일반 비밀에 대한 경고가 표시됩니다. 지원되는 공급자 이외의 패턴 목록은 "지원되는 비밀 검사 패턴" 항목을 참조하세요. AI를 사용하여 검색된 일반 비밀에 대한 자세한 내용은 "비밀 검사를 사용하는 일반 비밀 검색 정보" 항목을 참조하세요.

다음 단계