참고: 사이트 관리자가 먼저 GitHub Enterprise Server 인스턴스에서 secret scanning을(를) 사용하도록 설정해야 이 기능을 사용할 수 있습니다. 자세한 내용은 "어플라이언스에 대한 비밀 검사 구성"을(를) 참조하세요.
엔터프라이즈 소유자가 엔터프라이즈 수준에서 정책을 설정한 경우 secret scanning을(를) 사용하거나 사용하지 않도록 설정하지 못할 수 있습니다. 자세한 내용은 "엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용"을(를) 참조하세요.
secret scanning 경고 정보
비밀 검사 을(를) 사용하도록 설정하면 GitHub이(가) 리포지토리에서 다양한 서비스 공급자가 발급한 비밀을 검색하고 을(를) 생성합니다.
리포지토리의 보안 탭에서 이러한 경고를 볼 수 있습니다.
리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.
비밀 검사에 REST API를 사용하는 경우 Secret type
을 사용하여 특정 발급자의 비밀을 보고할 수 있습니다. 자세한 내용은 "비밀 검사를 위한 REST API 엔드포인트"을(를) 참조하세요.
참고: 리포지토리, 조직 또는 엔터프라이즈에 대한 사용자 지정 secret scanning 패턴을 정의할 수도 있습니다. 자세한 내용은 "비밀 검사를 위한 사용자 지정 패턴 정의"을(를) 참조하세요.
푸시 보호 경고 정보
푸시 보호 경고는 푸시 보호에서 보고되는 사용자 경고입니다. Secret scanning은(는) 푸시 보호로 현재 리포지토리에서 일부 서비스 공급자가 발급한 비밀을 검색합니다.
리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.
이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 최근에 만든 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 "비밀 검사 문제 해결"을 참조하세요.
지원되는 비밀
이 표에는 secret scanning에서 지원하는 비밀이 나열되어 있습니다. 각 토큰에 대해 생성되는 경고 유형과 토큰에서 유효성 검사가 수행되는지 여부를 확인할 수 있습니다.
-
공급자 - 토큰 공급자의 이름입니다.
-
Secret scanning 경고 - GitHub에서 사용자에게 유출이 보고되는 토큰입니다. GitHub Advanced Security 및 secret scanning이(가) 활성화된 프라이빗 리포지토리에 적용됩니다.
-
푸시 보호 - GitHub에서 사용자에게 유출이 보고되는 토큰입니다. secret scanning 및 푸시 보호를 사용하도록 설정한 리포지토리에 적용됩니다.
참고: 이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 최근에 만든 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 "비밀 검사 문제 해결"을(를) 참조하세요.
-
유효성 검사 - 유효성 검사가 구현되는 토큰입니다. 현재 GitHub 토큰에만 적용됩니다.
공급자 | 토큰 | Secret scanning 경고 | 푸시 보호 | 유효성 검사 |
---|---|---|---|---|
Adafruit | adafruit_io_key | |||
Adobe | adobe_device_token | |||
Adobe | adobe_service_token | |||
Adobe | adobe_short_lived_access_token | |||
Alibaba | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | |||
Amazon AWS | aws_access_key_id aws_secret_access_key | |||
Asana | asana_personal_access_token | |||
Atlassian | atlassian_api_token | |||
Atlassian | atlassian_api_token | |||
Atlassian | atlassian_jwt | |||
Azure | azure_active_directory_application_secret | |||
Azure | azure_active_directory_application_secret | |||
Azure | azure_active_directory_application_secret | |||
Azure | azure_batch_key_identifiable | |||
Azure | azure_cache_for_redis_access_key | |||
Azure | azure_cosmosdb_key_identifiable | |||
Azure | azure_devops_personal_access_token | |||
Azure | azure_function_key | |||
Azure | azure_management_certificate | |||
Azure | azure_ml_web_service_classic_identifiable_key | |||
Azure | azure_sas_token | |||
Azure | azure_search_admin_key | |||
Azure | azure_search_query_key | |||
Azure | azure_sql_connection_string | |||
Azure | azure_storage_account_key | |||
Azure | azure_storage_account_key | |||
Beamer | beamer_api_key | |||
Bitbucket | bitbucket_server_personal_access_token | |||
Canadian Digital Service | cds_canada_notify_api_key | |||
Checkout.com | checkout_production_secret_key | |||
Checkout.com | checkout_production_secret_key | |||
Checkout.com | checkout_test_secret_key | |||
Checkout.com | checkout_test_secret_key | |||
Chief Tools | chief_tools_token | |||
Clojars | clojars_deploy_token | |||
CloudBees | codeship_credential | |||
Contentful | contentful_personal_access_token | |||
crates.io | cratesio_api_token | |||
Databricks | databricks_access_token | |||
DevCycle | devcycle_client_api_key | |||
DevCycle | devcycle_mobile_api_key | |||
DevCycle | devcycle_server_api_key | |||
DigitalOcean | digitalocean_oauth_token | |||
DigitalOcean | digitalocean_personal_access_token | |||
DigitalOcean | digitalocean_refresh_token | |||
DigitalOcean | digitalocean_system_token | |||
Discord | discord_bot_token | |||
Discord | discord_bot_token | |||
Doppler | doppler_audit_token | |||
Doppler | doppler_cli_token | |||
Doppler | doppler_personal_token | |||
Doppler | doppler_scim_token | |||
Doppler | doppler_service_account_token | |||
Doppler | doppler_service_token | |||
Dropbox | dropbox_access_token | |||
Dropbox | dropbox_short_lived_access_token | |||
Duffel | duffel_live_access_token | |||
Duffel | duffel_test_access_token | |||
Dynatrace | dynatrace_internal_token | |||
EasyPost | easypost_production_api_key | |||
EasyPost | easypost_test_api_key | |||
eBay | ebay_production_client_id ebay_production_client_secret | |||
eBay | ebay_sandbox_client_id ebay_sandbox_client_secret | |||
facebook_access_token | ||||
Fastly | fastly_api_token | |||
Fastly | fastly_api_token | |||
Figma | figma_pat | |||
Finicity | finicity_app_key | |||
Firebase | firebase_cloud_messaging_server_key | |||
Flutterwave | flutterwave_live_api_secret_key | |||
Flutterwave | flutterwave_test_api_secret_key | |||
Frame.io | frameio_developer_token | |||
Frame.io | frameio_jwt | |||
FullStory | fullstory_api_key | |||
FullStory | fullstory_api_key | |||
GitHub | github_app_installation_access_token | |||
GitHub | github_app_installation_access_token | |||
GitHub | github_oauth_access_token | |||
GitHub | github_oauth_access_token | |||
GitHub | github_personal_access_token | |||
GitHub | github_personal_access_token | |||
GitHub | github_personal_access_token | |||
GitHub | github_refresh_token | |||
GitHub | github_ssh_private_key | |||
GitLab | gitlab_access_token | |||
GoCardless | gocardless_live_access_token | |||
GoCardless | gocardless_sandbox_access_token | |||
google_api_key | ||||
google_cloud_private_key_id | ||||
google_oauth_access_token | ||||
google_oauth_client_id google_oauth_client_secret | ||||
google_oauth_refresh_token | ||||
Grafana | grafana_cloud_api_key | |||
Grafana | grafana_cloud_api_token | |||
Grafana | grafana_project_api_key | |||
Grafana | grafana_project_service_account_token | |||
HashiCorp | hashicorp_vault_batch_token | |||
HashiCorp | hashicorp_vault_batch_token | |||
HashiCorp | hashicorp_vault_root_service_token | |||
HashiCorp | hashicorp_vault_service_token | |||
HashiCorp | hashicorp_vault_service_token | |||
HashiCorp | terraform_api_token | |||
Hubspot | hubspot_api_key | |||
Hubspot | hubspot_api_key | |||
Hubspot | hubspot_api_key | |||
Intercom | intercom_access_token | |||
Ionic | ionic_personal_access_token | |||
Ionic | ionic_personal_access_token | |||
Ionic | ionic_refresh_token | |||
Ionic | ionic_refresh_token | |||
JFrog | jfrog_platform_access_token | |||
JFrog | jfrog_platform_api_key | |||
Linear | linear_api_key | |||
Linear | linear_oauth_access_token | |||
Lob | lob_live_api_key | |||
Lob | lob_test_api_key | |||
Localstack | localstack_api_key | |||
LogicMonitor | logicmonitor_bearer_token | |||
LogicMonitor | logicmonitor_lmv1_access_key | |||
Mailchimp | mailchimp_api_key | |||
Mailgun | mailgun_api_key | |||
Mailgun | mailgun_api_key | |||
Mapbox | mapbox_secret_access_token | |||
MessageBird | messagebird_api_key | |||
Midtrans | midtrans_production_server_key | |||
Midtrans | midtrans_sandbox_server_key | |||
New Relic | new_relic_insights_query_key | |||
New Relic | new_relic_license_key | |||
New Relic | new_relic_personal_api_key | |||
New Relic | new_relic_rest_api_key | |||
Notion | notion_integration_token | |||
Notion | notion_oauth_client_secret | |||
npm | npm_access_token | |||
npm | npm_access_token | |||
npm | npm_access_token | |||
NuGet | nuget_api_key | |||
Octopus Deploy | octopus_deploy_api_key | |||
Onfido | onfido_live_api_token | |||
Onfido | onfido_sandbox_api_token | |||
OpenAI | openai_api_key | |||
OpenAI | openai_api_key | |||
Palantir | palantir_jwt | |||
Persona Identities | persona_production_api_key | |||
Persona Identities | persona_sandbox_api_key | |||
PlanetScale | planetscale_database_password | |||
PlanetScale | planetscale_oauth_token | |||
PlanetScale | planetscale_service_token | |||
Plivo | plivo_auth_id plivo_auth_token | |||
Postman | postman_api_key | |||
Prefect | prefect_server_api_key | |||
Prefect | prefect_user_api_key | |||
Proctorio | proctorio_consumer_key | |||
Proctorio | proctorio_linkage_key | |||
Proctorio | proctorio_registration_key | |||
Proctorio | proctorio_secret_key | |||
Proctorio | proctorio_secret_key | |||
Pulumi | pulumi_access_token | |||
PyPI | pypi_api_token | |||
ReadMe | readmeio_api_access_token | |||
redirect.pizza | redirect_pizza_api_token | |||
RubyGems | rubygems_api_key | |||
Samsara | samsara_api_token | |||
Samsara | samsara_oauth_access_token | |||
SendGrid | sendgrid_api_key | |||
Sendinblue | sendinblue_api_key | |||
Sendinblue | sendinblue_smtp_key | |||
Shippo | shippo_live_api_token | |||
Shippo | shippo_test_api_token | |||
Shopify | shopify_access_token | |||
Shopify | shopify_app_client_credentials | |||
Shopify | shopify_app_client_secret | |||
Shopify | shopify_app_shared_secret | |||
Shopify | shopify_custom_app_access_token | |||
Shopify | shopify_marketplace_token | |||
Shopify | shopify_merchant_token | |||
Shopify | shopify_partner_api_token | |||
Shopify | shopify_private_app_password | |||
Slack | slack_api_token | |||
Slack | slack_api_token | |||
Slack | slack_api_token | |||
Slack | slack_incoming_webhook_url | |||
Slack | slack_workflow_webhook_url | |||
Square | square_access_token | |||
Square | square_access_token | |||
Square | square_access_token | |||
Square | square_production_application_secret | |||
Square | square_sandbox_application_secret | |||
SSLMate | sslmate_api_key | |||
SSLMate | sslmate_api_key | |||
SSLMate | sslmate_cluster_secret | |||
Stripe | stripe_api_key | |||
Stripe | stripe_legacy_api_key | |||
Stripe | stripe_live_restricted_key | |||
Stripe | stripe_test_restricted_key | |||
Stripe | stripe_test_secret_key | |||
Stripe | stripe_webhook_signing_secret | |||
Supabase | supabase_service_key | |||
Supabase | supabase_service_key | |||
Tableau | tableau_personal_access_token | |||
Telegram | telegram_bot_token | |||
Telnyx | telnyx_api_v2_key | |||
Tencent | tencent_cloud_secret_id | |||
Tencent | tencent_wechat_api_app_id | |||
Twilio | twilio_access_token | |||
Twilio | twilio_account_sid | |||
Twilio | twilio_api_key | |||
Typeform | typeform_personal_access_token | |||
Uniwise | wiseflow_api_key | |||
Yandex | yandex_cloud_api_key | |||
Yandex | yandex_cloud_iam_cookie | |||
Yandex | yandex_cloud_iam_token | |||
Yandex | yandex_dictionary_api_key | |||
Yandex | yandex_predictor_api_key | |||
Yandex | yandex_translate_api_key | |||
Zuplo | zuplo_consumer_api_key |
추가 참고 자료
- "리포지토리 보안을 위한 빠른 시작"
- "계정 및 데이터 보안 유지"
- GitHub Enterprise Cloud 설명서의 "비밀 검사 파트너 프로그램"