Skip to main content

비밀 검사 정보

GitHub에서는 실수로 커밋된 비밀이 사기에 사용되는 것을 방지하기 위해 리포지토리에 알려진 유형의 비밀이 있는지 검사합니다.

누가 이 기능을 사용할 수 있나요?

Secret scanning은(는) 다음 리포지토리에 사용할 수 있습니다.

  • 퍼블릭 리포지토리(무료)
  • GitHub Advanced Security 지원가 있는 GitHub Enterprise Cloud에 대한 사용자 소유 리포지토리

secret scanning 정보

Secret scanning은(는) 리포지토리에서 API 키, 암호, 토큰 및 기타 비밀과 같은 중요한 정보가 실수로 포함되는 것을 감지하고 방지하는 데 도움이 되는 보안 기능입니다. 사용하도록 설정하면 secret scanning은(는) 검색 시 알려진 유형의 비밀 및 경고 리포지토리 관리자에 대한 리포지토리의 커밋을 검색합니다.

Secret scanning는 리포지토리가 보관된 경우에도 GitHub 리포지토리에 있는 모든 분기에서 전체 Git 기록을 검사하여 비밀. GitHub은 퍼블릭 리포지토리에서 secret scanning에서 기존 콘텐츠에 대한 전체 Git 기록 검사를 주기적으로 실행합니다.

또한 secret scanning은(는) 다음을 검사합니다.

  • 문제의 설명 및 주석
  • 과거 미결 및 종결 문제의 제목, 설명 및 주석
  • 끌어오기 요청의 제목, 설명 및 주석
  • GitHub Discussions의 제목, 설명 및 메모
  • Wiki

지원되는 비밀이 유출되면 GitHub에서 secret scanning 경고를 생성합니다. 경고는 GitHub에 있는 리포지토리의 보안 탭에서 보고되며, 여기서 경고를 보고 평가하고 해결할 수 있습니다. 자세한 내용은 비밀 검사에서 경고 관리을(를) 참조하세요.

서비스 공급자는 GitHub와 파트너 관계를 맺고 검색을 위한 비밀 형식을 제공할 수 있습니다. 모든 공용 리포지토리 및 공용 npm 패키지의 파트너 패턴에 대해 secret scanning을(를) 자동으로 실행합니다. 파트너 프로그램에 대해 알아보려면 "비밀 검사 파트너 프로그램"을(를) 참조하세요.

비밀 검사 파트너가 제공한 패턴과 일치하는 모든 문자열은 관련 파트너에게 직접 보고되며 GitHub에 표시되지 않습니다. 파트너 패턴에 대한 자세한 내용은 비밀 검사 경고 정보을(를) 참조하세요.

에서 지원하는 비밀 및 서비스 공급자에 대한 자세한 내용은 지원되는 비밀 검사 패턴을(를) 참조하세요.

REST API를 사용하여 리포지토리. API 엔드포인트에 대한 자세한 내용은 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요.

GitHub 도구를 사용하여 secret scanning 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "보안 경고 감사"을(를) 참조하세요.

secret scanning 작동 방법

다음은 secret scanning의 작동 방식을 설명하는 일반적인 워크플로입니다.

  • 검색: Secret scanning은(는) 리포지토리의 콘텐츠에서 API 키, 암호, 토큰 및 기타 비밀과 같은 중요한 데이터를 자동으로 검색합니다. 알려진 비밀 유형과 일치하는 패턴 및 추론을 찾습니다.

  • 경고: 잠재적 비밀이 검색되면 GitHub에서 경고를 생성하고 관련 리포지토리 관리자 및 사용자에게 알릴 수 있습니다. 이 알림에는 리포지토리의 위치와 같이 검색된 비밀에 대한 세부 정보가 포함됩니다. 경고 유형 및 경고 세부 정보에 대한 자세한 내용은 비밀 검사 경고 정보을(를) 참조하세요.

  • 검토: 비밀이 검색되면 제공된 경고 세부 정보를 검토해야 합니다.

  • 수정: 노출을 수정하려면 적절한 조치를 취해야 합니다. 더 이상 사용할 수 없도록 영향을 받는 자격 증명을 회전하는 작업이 항상 포함됩니다. 또한 리포지토리의 기록에서 비밀을 제거하는 것도 포함될 수 있습니다(예: git-filter-repo와 같은 도구 사용, 자세한 내용은 Removing sensitive data from a repository(리포지토리에서 중요한 데이터 제거) 참조). 하지만 막대한 시간과 노력이 소요될 수 있으며 자격 증명이 해지된 경우 일반적으로 불필요합니다.

  • 모니터링: 리포지토리를 정기적으로 감사하고 모니터링하여 다른 비밀이 노출되지 않도록 하는 것이 좋습니다.

  • 파트너와 통합: GitHub은(는) 다양한 서비스 공급자와 협력하여 비밀의 유효성을 검사합니다. 파트너 암호가 검색되면 GitHub이(가) 공급자에게 자격 증명 해지와 같은 적절한 조치를 취할 수 있도록 알 수 있습니다. 파트너십 프로그램에 대한 자세한 내용은 비밀 검사 파트너 프로그램을(를) 참조하세요.

secret scanning 혜택 정보

  • 향상된 보안: Secret scanning은 리포지토리에서 API 키, 암호, 토큰 및 기타 비밀과 같은 중요한 정보를 검색합니다. 이러한 위험을 조기에 감지하면 악의적인 행위자가 악용하기 전에 잠재적인 보안 위험을 완화할 수 있습니다.

  • 자동화된 검색: 이 기능은 커밋, 문제, 끌어오기 요청을 포함하여 코드베이스를 자동으로 검색하여 수동 개입 없이 지속적인 보호를 보장합니다. 이 자동화는 리포지토리가 발전함에 따라 보안을 유지하는 데 도움이 됩니다.

  • 실시간 경고: 비밀이 검색되면 secret scanning은 리포지토리 관리자 및 참가자에게 실시간 경고를 제공합니다. 이 즉각적인 피드백을 통해 신속한 수정 작업을 수행할 수 있습니다.

  • 서비스 공급자와의 통합: GitHub는 다양한 서비스 공급자와 협력하여 검색된 비밀의 유효성을 검사합니다. 비밀이 식별되면 GitHub은(는) 노출된 자격 증명을 해지하는 등의 적절한 조치를 취하도록 해당 서비스 공급자에게 알립니다. 자세한 내용은 비밀 검사 파트너 프로그램을(를) 참조하세요.

secret scanning 사용자 지정

secret scanning을(를) 사용하도록 설정하면 추가로 사용자 지정할 수 있습니다.

유효성 검사 수행

유효성 검사는 비밀이 active인지 아니면 inactive인지를 알려 경고의 우선 순위를 지정하는 데 도움을 줍니다. 자세한 내용은 비밀 검사에서 경고 평가을(를) 참조하세요.

추가 참고 자료