Skip to main content
설명서에 자주 업데이트를 게시하며 이 페이지의 번역이 계속 진행 중일 수 있습니다. 최신 정보는 영어 설명서를 참조하세요.
All products
코드 보안

비밀 검사에서 경고 관리

이 문서의 내용

리포지토리에 체크 인된 비밀에 대한 경고를 보고 닫을 수 있습니다.

이 기능을 사용할 수 있는 사용자

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

파트너에 대한 비밀 검사 경고는 공용 리포지토리에서 자동으로 실행되어 GitHub.com에서 유출된 비밀에 대해 서비스 공급자에게 알립니다.

사용자에 대한 비밀 검사 경고은(는) 모든 퍼블릭 리포지토리에서 무료로 사용할 수 있습니다. GitHub Advanced Security에 대한 라이선스가 있는 GitHub Enterprise Cloud를 사용하는 조직은 프라이빗 및 내부 리포지토리에서 사용자에 대한 비밀 검사 경고를 사용하도록 설정할 수도 있습니다. 자세한 내용은 "비밀 검사 정보" 및 "GitHub Advanced Security 정보"을 참조하세요.

비밀 검사 경고 관리

참고: 경고는 사용자에 대한 비밀 검사 경고가 사용하도록 설정된 리포지토리에 대해서만 만들어집니다. 무료 파트너에 대한 비밀 검사 경고 서비스를 사용하여 퍼블릭 리포지토리에 있는 비밀은 경고를 만들지 않고 파트너에게 직접 보고됩니다. 자세한 내용은 "비밀 검사 패턴"을 참조하세요.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷 "보안" 탭은 진한 주황색 윤곽선으로 강조 표시됩니다.

  2. 왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을 클릭합니다.

  3. "Secret scanning" 아래에서 보려는 경고를 클릭합니다.

  4. 필요에 따라 유출된 비밀이 GitHub 토큰인 경우 비밀의 유효성을 확인하고 수정 단계를 수행합니다.

    유효성 검사 및 제안된 수정 단계를 보여 주는 GitHub 토큰의 UI 스크린샷

    참고: GitHub 토큰에 대한 유효성 검사는 현재 퍼블릭 베타 버전이며 변경될 수 있습니다.

    GitHub는 GitHub 토큰에 대해서만 비밀의 유효성에 대한 정보를 제공합니다.

    유효성 검사결과
    활성 비밀GitHub이 비밀이 활성 상태임을 확인했습니다.
    활성 비밀GitHub이 비밀의 공급자를 확인했으며 비밀이 활성 상태임을 발견했습니다.
    활성 비밀일 수 있음GitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다.
    활성 비밀일 수 있음GitHub이(가) 이 비밀을 확인할 수 없습니다.
    비밀이 비활성 상태로 표시됩니다.무단 액세스가 이미 발생하지 않았는지 확인해야 합니다.

  5. 경고를 해제하려면 "닫기" 드롭다운 메뉴를 선택하고 경고 해결 이유를 클릭합니다.

    secret scanning 경고의 스크린샷 "닫기"라는 드롭다운 메뉴가 짙은 주황색 윤곽선으로 확장되고 강조 표시됩니다.

  6. 필요에 따라 "주석" 필드에 해제 주석을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. 경고 타임라인에서 해제된 모든 경고 및 해제 주석의 기록을 볼 수 있습니다. Secret scanning API를 사용하여 주석을 검색하거나 설정할 수도 있습니다. 설명은 resolution_comment 필드에 포함됩니다. 자세한 내용은 REST API 설명서의 "비밀 검사"을 참조하세요.

  7. 경고 닫기를 클릭합니다.

손상된 비밀 보안

비밀이 리포지토리에 커밋되면 보안이 손상된 것으로 간주해야 합니다. GitHub에서는 손상된 비밀에 대해 다음 작업을 권장합니다.

  • 손상된 GitHub personal access token의 경우 손상된 토큰을 삭제하고, 새 토큰을 만들고, 이전 토큰을 사용하는 모든 서비스를 업데이트합니다. 자세한 내용은 "개인용 액세스 토큰 만들기"을 참조하세요.

  • 다른 모든 비밀의 경우 먼저 GitHub에 커밋된 비밀이 유효한지 확인합니다. 그렇다면 새 비밀을 만들고 이전 비밀을 사용하는 모든 서비스를 업데이트한 후 이전 비밀을 삭제합니다.

참고: GitHub.com의 공용 리포지토리에서 비밀이 검색되고 비밀도 파트너 패턴과 일치하는 경우 경고가 생성되고 잠재적 비밀이 서비스 공급자에게 보고됩니다. 파트너 패턴에 대한 자세한 내용은 "비밀 검사 패턴"을 참조하세요.

비밀 검사 경고에 대한 알림 구성

새 비밀이 검색되면 GitHub은 알림 기본 설정에 따라 리포지토리에 대한 보안 경고에 액세스할 수 있는 모든 사용자에게 알릴 수 있습니다. 다음과 같은 경우 이메일 알림을 받게 됩니다.

  • 리포지토리를 보고 있습니다.
  • 리포지토리에서 "모든 활동" 또는 사용자 지정 "보안 경고"에 대한 알림을 사용하도록 설정했습니다.
  • 알림 설정의 "구독"에서 "시청 중"에서 전자 메일로 알림을 받도록 선택했습니다.

비밀을 포함하는 커밋의 작성자이고 리포지토리를 무시하지 않는 경우에도 알림이 표시됩니다.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 시청을 시작하려면 Watch를 선택합니다.

    리포지토리의 기본 페이지 스크린샷 "조사식"이라는 드롭다운 메뉴가 주황색 윤곽선으로 강조 표시됩니다.

  3. 드롭다운 메뉴에서 모든 작업을 클릭합니다. 또는 보안 경고만 구독하려면 사용자 지정을 클릭한 다음 보안 경고를 클릭합니다.

  4. 개인 계정에 대한 알림 설정으로 이동합니다. 이러한 항목은 에서 https://github.com/settings/notifications사용할 수 있습니다.

  5. 알림 설정 페이지의 "구독"에서 "시청 중"에서 알림 드롭다운을 선택합니다.

  6. 알림 옵션으로 "Email"을 선택한 다음 저장을 클릭합니다.

    사용자 계정에 대한 알림 설정의 스크린샷 "구독"이라는 요소 헤더와 "감시 중"이라는 하위 헤더가 표시됩니다. "Email"라는 확인란이 주황색 윤곽선으로 강조 표시되어 있습니다.

자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 조사식 설정 구성"을 참조하세요.

비밀 검사 경고에 대한 응답 감사

GitHub 도구를 사용하여 secret scanning 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "Auditing security alerts"을 참조하세요.