GitHub의 보안 기능 정보
GitHub 보안 기능을 사용하면 리포지토리와 조직 전체에서 코드와 비밀을 안전하게 유지할 수 있습니다.
- 일부 기능은 모든 GitHub 플랜에 사용할 수 있습니다.
- GitHub Team과 GitHub Enterprise Cloud에서 GitHub Advanced Security 제품을 구매하는 조직 에서 추가 기능을 사용할 수 있습니다.
- 또한 여러 GitHub Secret Protection 및 GitHub Code Security 기능은 퍼블릭 리포지토리에서 무료로 실행할 수 있습니다.
모든 GitHub 플랜에 사용할 수 있습니다.
사용 중인 GitHub 플랜에 관계없이 다음 보안 기능을 사용할 수 있습니다. 이러한 기능을 사용하려면 GitHub Secret Protection or GitHub Code Security를 구입할 필요가 없습니다.
이러한 기능의 대부분은 퍼블릭, 프라이빗 리포지토리에 사용할 수 있습니다. 일부 기능은 퍼블릭 리포지토리_에만_ 사용할 수 있습니다.
보안 정책
사용자가 리포지토리에 있는 보안 취약성을 기밀로 쉽게 보고할 수 있도록 합니다. 자세한 내용은 Adding a security policy to your repository(리포지토리에 보안 정책 추가)을(를) 참조하세요.
종속성 그래프
종속성 그래프를 사용하면 리포지토리가 의존하는 에코시스템 및 패키지와 리포지토리에 종속된 리포지토리 및 패키지를 탐색할 수 있습니다.
리포지토리의 인사이트 탭에서 종속성 그래프를 찾을 수 있습니다. 자세한 내용은 종속성 그래프 정보을(를) 참조하세요.
SBOM(소프트웨어 제품 구성 정보)
리포지토리의 종속성 그래프를 SPDX 호환 SBOM(소프트웨어 제품 구성 정보)으로 내보낼 수 있습니다. 자세한 내용은 리포지토리에 대한 소프트웨어 자료 청구서 내보내기을(를) 참조하세요.
GitHub Advisory Database
GitHub Advisory Database에는 보고, 검색하고, 필터링할 수 있는 보안 취약성의 큐레이팅된 목록이 포함되어 있습니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 탐색을(를) 참조하세요.
Dependabot alerts 및 보안 업데이트
보안 취약성이 포함된 것으로 알려진 종속성에 대한 경고를 보고 이러한 종속성을 업데이트하기 위해 끌어오기 요청을 자동으로 생성할지 여부를 선택합니다. 자세한 내용은 Dependabot 경고 정보 및 Dependabot 보안 업데이트 정보을(를) 참조하세요.
GitHub가 큐레이팅한 기본 Dependabot 자동 심사 규칙를 사용해 상당량의 가양성을 자동으로 필터링하여 제외할 수 있습니다.
Dependabot에서 제공하는 다양한 기능에 대한 개요 및 시작하는 방법에 대한 지침은 Dependabot 빠른 시작 가이드을(를) 참조하세요.
Dependabot version updates
Dependabot를 사용하여 자동으로 끌어오기 요청을 발생시켜 종속성을 최신 상태로 유지하세요. 이렇게 하면 이전 버전의 종속성에 대한 노출을 줄이는 데 도움이 됩니다. 최신 버전을 사용하면 보안 취약성이 발견될 경우 패치를 더 쉽게 적용할 수 있으며 Dependabot security updates에서 취약한 종속성을 업그레이드하기 위한 끌어오기 요청을 성공적으로 발생시킬 수 있습니다. Dependabot version updates을(를) 사용자 지정하여 리포지토리에 대한 통합을 간소화할 수도 있습니다. 자세한 내용은 Dependabot 버전 업데이트 정보을(를) 참조하세요.
보안 공지
퍼블릭 리포지토리의 코드에서 보안 취약성을 프라이빗으로 논의하고 해결합니다. 그런 다음 보안 공지를 게시하여 커뮤니티에 취약성을 알리고 커뮤니티 멤버가 업그레이드하도록 장려할 수 있습니다. 자세한 내용은 리포지토리 보안 공지 정보을(를) 참조하세요.
리포지토리 규칙 집합
분기와 태그에서 일관된 코드 표준, 보안, 규정 준수를 적용합니다. 자세한 내용은 규칙 세트 정보을(를) 참조하세요.
아티팩트 증명
빌드하는 소프트웨어에 대해 신뢰할 수 없는 출처와 무결성 보장을 만듭니다. 자세한 내용은 아티팩트 증명을 사용하여 빌드의 출처 설정을(를) 참조하세요.
Note
GitHub Free, GitHub Pro, GitHub Team 플랜을 사용 중인 경우 아티팩트 증명은 퍼블릭 리포지토리에서만 사용할 수 있습니다. 프라이빗이나 내부 리포지토리에서 아티팩트 증명을 사용하려면 GitHub Enterprise Cloud 플랜에 있어야 합니다.
파트너에 대한 비밀 검사 경고
GitHub가 퍼블릭 리포지토리 또는 퍼블릭 npm패키지에서 유출된 비밀을 탐지하면 GitHub는 관련 서비스 공급자에게 비밀이 손상될 수 있음을 알릴 수 있습니다. 지원하는 비밀 및 서비스 공급자에 대한 개요는 지원되는 비밀 검사 패턴을(를) 참조하세요.
사용자에 대한 푸시 보호
사용자에 대한 푸시 보호를 사용하면 우발적으로 비밀을 퍼블릭 리포지토리에 커밋하지 않도록 자동으로 보호됩니다. 이는 리포지토리 자체에서 secret scanning이(가) 사용 설정되어 있든 아니든 관계없이 마찬가지입니다. 사용자에 대한 푸시 보호는 기본값이 ON이지만, 언제든 개인 계정 설정을 통해 이 기능을 사용 중지할 수 있습니다. 자세한 내용은 사용자에 대한 푸시 보호을(를) 참조하세요.
GitHub Secret Protection 사용 가능
GitHub Team 및 GitHub Enterprise Cloud의 계정의 경우 GitHub Secret Protection 을 구매할 때 추가 보안 기능에 액세스할 수 있습니다.
GitHub Secret Protection에는 secret scanning 및 푸시 보호와 같은 비밀 유출을 탐지하고 방지하는 데 도움이 되는 기능이 포함되어 있습니다.
이러한 기능은 모든 리포지토리 유형에 사용할 수 있습니다. 이러한 기능 중 일부는 퍼블릭 리포지토리에서 무료로 사용할 수 있습니다. 즉, 퍼블릭 리포지토리에서 기능을 사용하도록 설정하기 위해 GitHub Secret Protection을 구매할 필요가 없습니다.
사용자에 대한 비밀 검사 경고
리포지토리에 체크 인된 토큰 또는 자격 증명을 자동으로 검색합니다. 리포지토리의 Security 탭에서 GitHub가 코드에서 찾은 모든 비밀에 대한 경고를 볼 수 있으므로 손상된 것으로 처리할 토큰이나 자격 증명을 알 수 있습니다. 자세한 내용은 비밀 검사 경고 정보을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
Copilot 비밀 검색
Copilot 비밀 검색의 일반 비밀 감지는 소스 코드에서 구조화되지 않은 비밀(암호)을 식별한 다음, 경고를 생성하는 secret scanning의 AI 기반 확장입니다. 자세한 내용은 Copilot 비밀 검색을 사용한 일반 비밀의 책임 있는 감지을(를) 참조하세요.
푸시 보호
푸시 보호는 푸시 프로세스 중에 코드와 리포지토리 기여자의 코드를 사전에 검사하고 비밀이 감지되면 푸시를 차단합니다. 참가자가 블록을 무시하면 GitHub에서 경고를 만듭니다. 자세한 내용은 푸시 보호 정보을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
푸시 보호를 위해 위임된 바이패스 사용
푸시 보호에 대한 위임된 바이패스를 사용하면 푸시 보호를 무시할 수 있는 개인, 역할, 팀을 제어하고 비밀을 포함하는 푸시에 대한 검토와 승인 주기를 구현할 수 있습니다. 자세한 내용은 푸시 보호를 위한 위임 바이패스 정보을(를) 참조하세요.
사용자 지정 패턴
사용자 지정 패턴을 정의하여 조직의 내부 패턴과 같이 secret scanning에서 지원하는 기본 패턴에서 검색되지 않는 비밀을 식별할 수 있습니다. 자세한 내용은 비밀 검사를 위한 사용자 지정 패턴 정의을(를) 참조하세요.
보안 개요
보안 개요를 사용하면 조직의 전반적인 보안 환경을 검토하고, 추세 및 기타 인사이트를 보며, 보안 구성을 관리할 수 있으므로 조직의 보안 상태를 쉽게 모니터링하고 가장 큰 위험에 처한 리포지토리 및 조직을 식별할 수 있습니다. 자세한 내용은 보안 개요을(를) 참조하세요.
GitHub Code Security 사용 가능
GitHub Team 및 GitHub Enterprise Cloud의 계정의 경우 GitHub Code Security 를 구매할 때 추가 보안 기능에 액세스할 수 있습니다.
GitHub Code Security에는 code scanning, 프리미엄 Dependabot 기능, 종속성 검토와 같은 취약성을 찾아서 해결하는 데 도움이 되는 기능이 포함되어 있습니다.
이러한 기능은 모든 리포지토리 유형에 사용할 수 있습니다. 이러한 기능 중 일부는 퍼블릭 리포지토리에서 무료로 사용할 수 있습니다. 즉, 퍼블릭 리포지토리에서 기능을 사용하도록 설정하기 위해 GitHub Code Security를 구매할 필요가 없습니다.
Code scanning
새 코드 또는 수정된 코드에서 보안 취약성 및 코딩 오류를 자동으로 검색합니다. 잠재적인 문제가 세부 정보와 함께 강조 표시되어 기본 분기에 병합되기 전에 코드를 수정할 수 있습니다. 자세한 내용은 코드 검사 정보을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
CodeQL CLI
CodeQL 프로세스를 소프트웨어 프로젝트에서 로컬로 실행하거나 code scanning 결과를 생성하여 GitHub에 업로드합니다. 자세한 내용은 CodeQL CLI 알아보기을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
Copilot Autofix
code scanning 경고에 대해 자동으로 생성된 수정 사항을 가져옵니다. 자세한 내용은 코드 검사에 대한 Copilot Autofix의 책임 있는 사용을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
Dependabot에 대한 사용자 지정 자동 심사 규칙
Dependabot alerts을(를) 대규모로 관리하는 데 도움이 됩니다. 사용자 지정 자동 심사 규칙을(를) 이용하면 무시하거나 다시 알릴 알림을 제어할 수 있고, 아니면 Dependabot 보안 업데이트를 트리거할 수 있습니다. 자세한 내용은 Dependabot 경고 정보 및 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.
종속성 검토
종속성에 대한 변경 내용의 전체 영향을 표시하고 끌어오기 요청을 병합하기 전에 취약한 버전의 세부 정보를 확인합니다. 자세한 내용은 종속성 검토 정보을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
보안 캠페인
보안 캠페인을 만들고 개발자와 공동 작업하여 보안 백로그를 소진함으로써 대규모 보안 경고를 수정할 수 있습니다. 자세한 내용은 보안 캠페인 정보을(를) 참조하세요.
보안 개요
보안 개요를 사용하면 조직의 전반적인 보안 환경을 검토하고, 추세 및 기타 인사이트를 보며, 보안 구성을 관리할 수 있으므로 조직의 보안 상태를 쉽게 모니터링하고 가장 큰 위험에 처한 리포지토리 및 조직을 식별할 수 있습니다. 자세한 내용은 보안 개요을(를) 참조하세요.