경고 평가 정보
경고의 우선 순위를 효과적으로 지정하고 관리하기 위해 경고를 평가하는 데 도움이 되는 몇 가지 추가 기능이 있습니다. 마케팅 목록의 구성원을 관리할 수 있습니다.
- 비밀의 유효성을 검사하여 비밀이 여전히 활성 상태인지 확인합니다. GitHub 토큰에만 적용됩니다. 비밀의 유효성 검사를 참조하세요.
- 최신 유효성 검사 상태를 확인하려면 "온디맨드" 유효성 검사를 수행합니다. 주문형 유효성 검사 수행을 참조하세요.
- 토큰의 메타데이터를 검토합니다. GitHub 토큰에만 적용됩니다. 예를 들어 토큰이 마지막으로 사용된 시점을 확인합니다. GitHub의 토큰 메타데이터 검토를 참조하세요.
- 노출된 비밀에 대한 확장 메타데이터 검사를 검토하여 비밀을 소유한 사람 및 비밀 소유자에게 연락하는 방법과 같은 세부 정보를 확인합니다. OpenAI API, Google OAuth 및 Slack 토큰에만 적용됩니다. 토큰에 대한 확장 메타데이터 검토를 참조하세요.
- 경고에 할당된 레이블을 검토합니다. 자세한 내용은 경고 레이블 검토를 참조하세요.
비밀의 유효성 확인
유효성 검사는 비밀이 active인지 아니면 inactive인지를 알려 경고의 우선 순위를 지정하는 데 도움을 줍니다.
active 비밀은 여전히 악용될 수 있으므로, 이러한 경고를 우선적으로 검토하고 수정해야 합니다.
기본적으로 GitHub은(는) GitHub 토큰의 유효성을 검사하고 경고 보기에 토큰의 유효성 검사 상태를 표시합니다.
GitHub Secret Protection 라이선스를 가지고 GitHub Team 또는 GitHub Enterprise Cloud를 사용하는 조직은 파트너 패턴에 대한 유효성 검사도 사용하도록 설정할 수 있습니다. 자세한 내용은 비밀의 유효성 확인을 참조하세요.
| 유효성 검사 | 상태 | 결과 |
|---|---|---|
| 활성 비밀 | active | GitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다. |
| 활성 비밀일 수 있음 | unknown | GitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다. |
| 활성 비밀일 수 있음 | unknown | GitHub은(는) 이 비밀을 확인할 수 없습니다. |
| 비활성 상태의 비밀 | inactive | 무단 액세스가 아직 발생하지 않았는지 확인해야 합니다. |
파트너 패턴의 유효성 검사는 다음 리포지토리 유형에서 사용할 수 있습니다.
- GitHub Secret Protection이 활성화된 GitHub Team의 조직 소유 리포지토리
파트너 패턴에 대해 유효성 검사 사용하도록 설정하는 방법에 대한 자세한 내용은 리포지토리에 대한 유효성 검사 사용을(를) 참조하고 현재 지원되는 파트너 패턴에 대한 자세한 내용은 지원되는 비밀 검사 패턴을(를) 참조하세요.
REST API를 사용하여 각 토큰에 대한 최신 유효성 검사 상태 목록을 검색할 수 있습니다. 자세한 내용은 REST API 설명서에서 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요. 또한 웹후크를 사용해 secret scanning 경고와 관련한 활동에 대한 알림을 받을 수도 있습니다. 자세한 내용은 secret_scanning_alert의 이벤트를 참조하세요.
온디맨드 유효성 검사 수행
리포지토리에서 파트너 패턴에 대한 유효성 검사를 수행하도록 설정한 경우, 경고 보기에서 Verify secret을 클릭하여 지원되는 비밀에 대한 “온디맨드” 유효성 검사를 수행할 수 있습니다. GitHub은(는) 관련 파트너에게 패턴을 보내고 경고 보기에 비밀의 유효성 검사 상태를 표시합니다.
GitHub 토큰 메타데이터 검토
참고 항목
GitHub 토큰의 메타데이터는 현재 공개 미리 보기 버전이며 변경될 수 있습니다.
활성 GitHub 토큰 경고에 대한 보기에서 토큰에 대한 특정 메타데이터를 검토할 수 있습니다. 이 메타데이터는 토큰을 식별하고 어떤 수정 단계를 수행할지 결정하는 데 도움이 될 수 있습니다.
personal access token 및 기타 자격 증명과 같은 토큰은 개인 정보로 간주됩니다. GitHub 토큰을 사용하는 방법에 대한 자세한 내용은 GitHub의 개인정보처리방침 및 허용 가능한 사용 정책을 참조하세요.
GitHub 토큰에 대한 메타데이터는 비밀 검사를 사용하도록 설정된 모든 리포지토리의 활성 토큰에 사용할 수 있습니다. 토큰이 해지되었거나 해당 상태를 확인할 수 없는 경우 메타데이터를 사용할 수 없습니다. GitHub이(가) 공용 리포지토리에서 GitHub 토큰을 자동으로 해지하므로 공용 리포지토리의 GitHub 토큰에 대한 메타데이터를 사용할 수 없습니다. 활성 GitHub 토큰에 다음 메타데이터를 사용할 수 있습니다:
| 메타데이터 | 설명 |
|---|---|
| 비밀 이름 | 작성자가 GitHub 토큰에 지정한 이름 |
| 비밀 소유자 | 토큰 소유자의 GitHub 핸들 |
| 만든 날짜 | 토큰이 생성된 날짜 |
| 만료된 날짜 | 토큰이 만료된 날짜 |
| 마지막으로 사용된 날짜 | 토큰이 마지막으로 사용된 날짜 |
| Access | 토큰에 조직 액세스 권한이 있는지 여부 |
토큰에 대한 확장 메타데이터 검토
참고 항목
토큰에 대한 확장 메타데이터 검사는 공개 미리 보기로 제공되며 변경될 수 있습니다.
활성 GitHub 토큰 경고에 대한 보기에서 소유자 및 연락처 세부 정보와 같은 확장 메타데이터 정보를 볼 수 있습니다.
다음 표에는 사용 가능한 모든 메타데이터가 나와 있습니다. 메타데이터 검사는 현재 OpenAI API, Google OAuth 및 Slack 토큰으로 제한되며 각 토큰에 대해 표시된 메타데이터는 존재하는 항목의 하위 집합만 나타낼 수 있습니다.
| 메타데이터 형식 | 설명 |
|---|---|
| 담당자 ID | 비밀을 소유한 사용자 또는 서비스 계정에 대한 공급자의 고유 식별자 |
| 소유자 이름 | 사람이 읽을 수 있는 사용자 이름 또는 비밀 소유자의 표시 이름 |
| 소유자 전자 메일 | 소유자와 연결된 전자 메일 주소 |
| 조직 이름 | 비밀이 속한 조직/작업 영역/프로젝트의 이름 |
| 조직 ID | 해당 조직에 대한 공급자의 고유 식별자 |
| 비밀 발급 날짜 | 비밀(토큰 또는 키)이 생성되었거나 가장 최근에 발급된 타임스탬프 |
| 비밀 만료 날짜 | 비밀이 만료되도록 예약된 타임스탬프 |
| 비밀 이름 | 사람이 지정한 비밀의 표시 이름 또는 레이블 |
| 비밀 ID | 비밀에 대한 공급자의 고유 식별자 |
경고 레이블 검토
경고 보기에서 경고에 할당된 레이블을 검토할 수 있습니다. 레이블은 경고에 대한 추가 세부 정보를 제공하며, 이를 통해 수정을 위해 사용하는 방법을 알릴 수 있습니다.
Secret scanning 경고에는 다음 레이블이 할당되어 있을 수 있습니다. 할당된 레이블에 따라 경고 보기에 추가 정보가 표시됩니다.
| Label | 설명 | 경고 보기 정보 |
|---|---|---|
public leak | 리포지토리에서 검색된 비밀은 GitHub의 코드 검사, 토론, gist, 문제, 끌어오기 요청 및 Wiki 중 하나 이상에 의해 공개적으로 유출된 것으로 밝혀졌습니다. 이 경우 더 긴급하게 경고를 처리하거나 비공개로 노출된 토큰과 다르게 경고를 수정해야 할 수 있습니다. | 유출된 비밀이 감지된 특정 공용 위치에 대한 링크가 표시됩니다. |
multi-repo | 리포지토리에서 검색된 비밀은 조직 또는 기업의 여러 리포지토리에서 발견되었습니다. 이 정보는 조직 또는 기업에서 경고를 보다 쉽게 중복 제거하는 데 도움이 될 수 있습니다. | 적절한 권한이 있는 경우 조직 또는 기업에서 동일한 비밀에 대한 특정 경고에 대한 링크가 표시됩니다. |
다음 단계
-
[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)