secret scanning 패턴 정보
GitHub은(는) 다음의 서로 다른 기본 secret scanning 패턴 집합을 유지 관리합니다.
-
파트너 패턴. 모든 퍼블릭 리포지토리 및 퍼블릭 npm 패키지에서 잠재적 비밀을 검색하는 데 사용됩니다. 파트너 프로그램에 대해 알아보려면 "비밀 검사 파트너 프로그램"을(를) 참조하세요.
-
사용자 경고 패턴. 퍼블릭 리포지토리에서 사용자에 대한 비밀 검사 경고을(를) 사용하여 잠재적 비밀을 검색하는 데 사용됩니다.
-
푸시 보호 패턴. secret scanning을(를) 푸시 보호로 사용할 수 있는 리포지토리에서 잠재적 비밀을 검색하는 데 사용됩니다.
퍼블릭 리포지토리 소유자와 더불어 GitHub Advanced Security이(가) 포함된 GitHub Enterprise Cloud을(를) 사용하는 조직은 리포지토리에서 사용자에 대한 비밀 검사 경고을(를) 사용하도록 설정할 수 있습니다.
지원되는 모든 패턴에 대한 자세한 내용은 아래의 "지원되는 비밀" 섹션을 참조하세요.
secret scanning이(가) 리포지토리에 커밋된 비밀을 감지해야 하는데 감지하지 않은 경우 먼저 GitHub이(가) 해당 비밀을 지원하는지 확인합니다. 자세한 내용은 아래 섹션을 참조하세요. 자세한 문제 해결 정보는 "비밀 검사 문제 해결"을(를) 참조하세요.
파트너 경고 정보
파트너 경고는 비밀 공급자의 비밀 유출이 보고될 때마다 비밀 공급자에게 전송되는 경고입니다. GitHub은(는) 현재 퍼블릭 리포지토리 및 퍼블릭 npm 패키지에서 특정 서비스 공급자가 발급한 비밀을 검색하고 커밋에서 비밀이 검색되면 관련 서비스 공급자에게 경고합니다. secret scanning에 대한 자세한 내용은 “비밀 검사 정보”을(를) 참조하세요.
리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.
사용자 경고 정보
사용자 경고는 GitHub에서 사용자에게 보고되는 경고입니다. 사용자에 대한 비밀 검사 경고 을(를) 사용하도록 설정하면 GitHub이(가) 리포지토리에서 다양한 서비스 공급자가 발급한 비밀을 검색하고 을(를) 생성합니다.
리포지토리의 보안 탭에서 이러한 경고를 볼 수 있습니다. 사용자에 대한 비밀 검사 경고에 대한 자세한 내용은 "비밀 검사 정보"을 참조하세요.
리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.
비밀 검사에 REST API를 사용하는 경우 Secret type을 사용하여 특정 발급자의 비밀을 보고할 수 있습니다. 자세한 내용은 "비밀 검사를 위한 REST API 엔드포인트"을(를) 참조하세요.
푸시 보호 경고 정보
푸시 보호 경고는 푸시 보호에서 보고되는 사용자 경고입니다. Secret scanning은(는) 푸시 보호로 현재 리포지토리에서 일부 서비스 공급자가 발급한 비밀을 검색합니다.
푸시 보호 경고는 사용자 기반 푸시 보호로만 바이패스되는 비밀에 대해 생성되지 않습니다. 자세한 정보는 "사용자에 대한 푸시 보호"을 참조하세요.
리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.
이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 최근에 만든 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 "비밀 검사 문제 해결"을 참조하세요.
지원되는 비밀
이 표에는 secret scanning에서 지원하는 비밀이 나열되어 있습니다. 각 토큰에 대해 생성되는 경고 유형과 토큰에서 유효성 검사가 수행되는지 여부를 확인할 수 있습니다.
-
공급자 - 토큰 공급자의 이름입니다.
-
파트너 - 관련된 토큰 파트너에게 유출이 보고되는 토큰입니다. 퍼블릭 리포지토리에만 적용됩니다.
-
사용자 - GitHub에서 사용자에게 유출이 보고되는 토큰입니다.
-
푸시 보호 - GitHub에서 사용자에게 유출이 보고되는 토큰입니다. secret scanning 및 푸시 보호를 사용하도록 설정한 리포지토리에 적용됩니다.
참고: 이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 최근에 만든 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 "비밀 검사 문제 해결"을(를) 참조하세요.
-
유효성 검사 - 유효성 검사가 구현되는 토큰입니다. 현재 GitHub 토큰에만 적용되며 테이블에 표시되지 않습니다. 유효성 검사 지원에 대한 자세한 내용은 GitHub Enterprise Cloud 설명서의 "비밀 검사 패턴"을 참조하세요.
| 공급자 | 토큰 | 파트너 | 사용자 | 푸시 보호 |
|---|---|---|---|---|
| Adafruit IO | adafruit_io_key | |||
| Adobe | adobe_client_secret | |||
| Adobe | adobe_device_token | |||
| Adobe | adobe_pac_token | |||
| Adobe | adobe_refresh_token | |||
| Adobe | adobe_service_token | |||
| Adobe | adobe_short_lived_access_token | |||
| Aiven | aiven_auth_token | |||
| Aiven | aiven_service_password | |||
| Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | |||
| Login with Amazon | amazon_oauth_client_id amazon_oauth_client_secret | |||
| Amazon Web Services (AWS) | aws_access_key_id aws_secret_access_key | |||
| Amazon Web Services (AWS) | aws_session_token aws_temporary_access_key_id aws_secret_access_key | |||
| Anthropic | anthropic_api_key | |||
| Asana | asana_personal_access_token | |||
| Atlassian | atlassian_api_token | |||
| Atlassian | atlassian_jwt | |||
| Atlassian | bitbucket_server_personal_access_token | |||
| Authress | authress_service_client_access_key | |||
| Azure | azure_active_directory_application_secret | |||
| Azure | azure_batch_key_identifiable | |||
| Azure | azure_cache_for_redis_access_key | |||
| Azure | azure_container_registry_key_identifiable | |||
| Azure | azure_cosmosdb_key_identifiable | |||
| Azure | azure_devops_personal_access_token | |||
| Azure | azure_function_key | |||
| Azure | azure_ml_web_service_classic_identifiable_key | |||
| Azure | azure_sas_token | |||
| Azure | azure_search_admin_key | |||
| Azure | azure_search_query_key | |||
| Azure | azure_management_certificate | |||
| Azure | azure_sql_connection_string | |||
| Azure | azure_sql_password | |||
| Azure | azure_storage_account_key | |||
| Baidu | baiducloud_api_accesskey | |||
| Beamer | beamer_api_key | |||
| Beijing Volcano Engine Technology | volcengine_access_key_id | |||
| Canadian Digital Service | cds_canada_notify_api_key | |||
| Canva | canva_connect_api_secret | |||
| Cashfree | Cashfree API Key | |||
| Checkout.com | checkout_production_secret_key | |||
| Checkout.com | checkout_test_secret_key | |||
| Chief Tools | chief_tools_token | |||
| CircleCI | circleci-pat | |||
| CircleCI | circleci-prj | |||
| Clojars | clojars_deploy_token | |||
| CloudBees CodeShip | codeship_credential | |||
| Contentful | contentful_personal_access_token | |||
| Contributed Systems | CONTRIBUTED_SYSTEMS_CREDENTIALS | |||
| crates.io (Rust Foundation) | cratesio_api_token | |||
| Databricks | databricks_access_token | |||
| Datadog | DATADOG_API_KEY | |||
| Defined | defined_networking_nebula_api_key | |||
| DevCycle | devcycle_client_api_key | |||
| DevCycle | devcycle_mobile_api_key | |||
| DevCycle | devcycle_server_api_key | |||
| DigitalOcean | digitalocean_oauth_token | |||
| DigitalOcean | digitalocean_personal_access_token | |||
| DigitalOcean | digitalocean_refresh_token | |||
| DigitalOcean | digitalocean_system_token | |||
| Discord | discord_api_token_v2 | |||
| Discord | discord_bot_token | |||
| Docker | docker_personal_access_token | |||
| Doppler | doppler_audit_token | |||
| Doppler | doppler_cli_token | |||
| Doppler | doppler_personal_token | |||
| Doppler | doppler_scim_token | |||
| Doppler | doppler_service_token | |||
| Doppler | doppler_service_account_token | |||
| Dropbox | dropbox_access_token | |||
| Dropbox | dropbox_short_lived_access_token | |||
| Duffel | duffel_live_access_token | |||
| Duffel | duffel_test_access_token | |||
| Dynatrace | dynatrace_access_token | |||
| Dynatrace | dynatrace_internal_token | |||
| EasyPost | easypost_production_api_key | |||
| EasyPost | easypost_test_api_key | |||
| eBay | ebay_production_client_id ebay_production_client_secret | |||
| eBay | ebay_sandbox_client_id ebay_sandbox_client_secret | |||
| Fastly | fastly_api_token | |||
| Figma | figma_pat | |||
| Finicity | finicity_app_key | |||
| Flutterwave | flutterwave_live_api_secret_key | |||
| Flutterwave | flutterwave_test_api_secret_key | |||
| Frame.io | frameio_developer_token | |||
| Frame.io | frameio_jwt | |||
| FullStory | fullstory_api_key | |||
| GitHub | github_app_installation_access_token | |||
| GitHub | github_oauth_access_token | |||
| GitHub | github_personal_access_token | |||
| GitHub | github_refresh_token | |||
| GitHub | github_ssh_private_key | |||
| GitLab | gitlab_access_token | |||
| GoCardless | gocardless_live_access_token | |||
| GoCardless | gocardless_sandbox_access_token | |||
| firebase_cloud_messaging_server_key | ||||
| google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret | ||||
| google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret | ||||
| google_oauth_access_token | ||||
| google_oauth_client_id google_oauth_client_secret | ||||
| google_oauth_refresh_token | ||||
| Google Cloud | google_api_key | |||
| Google Cloud | google_cloud_service_account_credentials | |||
| Grafana | grafana_cloud_api_key | |||
| Grafana | grafana_cloud_api_token | |||
| Grafana | grafana_project_api_key | |||
| Grafana | grafana_project_service_account_token | |||
| HashiCorp | hashicorp_vault_batch_token | |||
| HashiCorp | hashicorp_vault_root_service_token | |||
| HashiCorp | hashicorp_vault_service_token | |||
| Hashicorp Terraform | terraform_api_token | |||
| Highnote | highnote_rk_live_key | |||
| Highnote | highnote_rk_test_key | |||
| Highnote | highnote_sk_live_key | |||
| Highnote | highnote_sk_test_key | |||
| Hop | hop_bearer | |||
| Hop | hop_pat | |||
| Hop | hop_ptk | |||
| Hubspot | hubspot_api_key | |||
| Hubspot | hubspot_api_personal_access_key | |||
| Intercom | intercom_access_token | |||
| Ionic | ionic_personal_access_token | |||
| Ionic | ionic_refresh_token | |||
| JD Cloud | jd_cloud_access_key | |||
| JFrog | jfrog_platform_access_token | |||
| JFrog | jfrog_platform_api_key | |||
| JFrog | jfrog_platform_reference_token | |||
| Lightspeed | lightspeed-xs-pat | |||
| Linear | linear_api_key | |||
| Linear | linear_oauth_access_token | |||
| Lob | lob_live_api_key | |||
| Lob | lob_test_api_key | |||
| LocalStack | localstack_api_key | |||
| LogicMonitor | logicmonitor_bearer_token | |||
| LogicMonitor | logicmonitor_lmv1_access_key | |||
| Mailchimp | mailchimp_api_key | |||
| Mailchimp | MANDRILL_API | |||
| Mailgun | mailgun_api_key | |||
| Mapbox | mapbox_secret_access_token | |||
| Maxmind | maxmind_license_key | |||
| Mercury | mercury_non_production_api_token | |||
| Mercury | mercury_production_api_token | |||
| Mergify | mergify_application_key | |||
| MessageBird | messagebird_api_key | |||
| Meta | facebook_access_token | |||
| Midtrans | midtrans_production_server_key | |||
| Midtrans | midtrans_sandbox_server_key | |||
| New Relic | new_relic_insights_query_key | |||
| New Relic | new_relic_license_key | |||
| New Relic | new_relic_personal_api_key | |||
| New Relic | new_relic_rest_api_key | |||
| Notion | notion_integration_token | |||
| Notion | notion_oauth_client_secret | |||
| npm | npm_access_token | |||
| NuGet | nuget_api_key | |||
| Octopus Deploy | octopus_deploy_api_key | |||
| Oculus | oculus_very_tiny_encrypted_session | |||
| OneChronos | onechronos_api_key | |||
| OneChronos | onechronos_eb_api_key | |||
| OneChronos | onechronos_eb_encryption_key | |||
| OneChronos | onechronos_oauth_token | |||
| OneChronos | onechronos_refresh_token | |||
| Onfido | onfido_live_api_token | |||
| Onfido | onfido_sandbox_api_token | |||
| OpenAI | openai_api_key | |||
| OpenAI | openai_api_key_v2 | |||
| Palantir | palantir_jwt | |||
| Persona | persona_production_api_key | |||
| Persona | persona_sandbox_api_key | |||
| pinterest_access_token | ||||
| pinterest_refresh_token | ||||
| PlanetScale | planetscale_database_password | |||
| PlanetScale | planetscale_oauth_token | |||
| PlanetScale | planetscale_service_token | |||
| Plivo | plivo_auth_id plivo_auth_token | |||
| Postman | postman_api_key | |||
| Postman | postman_collection_key | |||
| Prefect | prefect_server_api_key | |||
| Prefect | prefect_user_api_key | |||
| Prefect | PREFECT_USER_API_TOKEN | |||
| Proctorio | proctorio_consumer_key | |||
| Proctorio | proctorio_linkage_key | |||
| Proctorio | proctorio_registration_key | |||
| Proctorio | proctorio_secret_key | |||
| Pulumi | pulumi_access_token | |||
| PyPI | pypi_api_token | |||
| ReadMe | readmeio_api_access_token | |||
| redirect.pizza | redirect_pizza_api_token | |||
| Rootly | rootly_api_key | |||
| RubyGems | rubygems_api_key | |||
| Samsara | samsara_api_token | |||
| Samsara | samsara_oauth_access_token | |||
| Segment | segment_public_api_token | |||
| SendGrid | sendgrid_api_key | |||
| Sendinblue | sendinblue_api_key | |||
| Sendinblue | sendinblue_smtp_key | |||
| Shippo | shippo_live_api_token | |||
| Shippo | shippo_test_api_token | |||
| Shopify | shopify_access_token | |||
| Shopify | shopify_app_client_credentials | |||
| Shopify | shopify_app_client_secret | |||
| Shopify | shopify_app_shared_secret | |||
| Shopify | shopify_custom_app_access_token | |||
| Shopify | shopify_marketplace_token | |||
| Shopify | shopify_merchant_token | |||
| Shopify | shopify_partner_api_token | |||
| Shopify | shopify_private_app_password | |||
| Siemens | code_siemens_com_token | |||
| Slack | slack_api_token | |||
| Slack | slack_incoming_webhook_url | |||
| Slack | slack_workflow_webhook_url | |||
| Square | square_access_token | |||
| Square | square_production_application_secret | |||
| Square | square_sandbox_application_secret | |||
| SSLMate | sslmate_api_key | |||
| SSLMate | sslmate_cluster_secret | |||
| Stripe | stripe_live_restricted_key | |||
| Stripe | stripe_api_key | |||
| Stripe | stripe_legacy_api_key | |||
| Stripe | stripe_test_restricted_key | |||
| Stripe | stripe_test_secret_key | |||
| Stripe | stripe_webhook_signing_secret | |||
| Supabase | supabase_service_key | |||
| Tableau | tableau_personal_access_token | |||
| Telegram | telegram_bot_token | |||
| Telnyx | telnyx_api_v2_key | |||
| Tencent Cloud | tencent_cloud_secret_id | |||
| Tencent WeChat | tencent_wechat_api_app_id | |||
| Twilio | twilio_access_token | |||
| Twilio | twilio_account_sid | |||
| Twilio | twilio_api_key | |||
| Typeform | typeform_personal_access_token | |||
| Uniwise | wiseflow_api_key | |||
| WakaTime | wakatime_pp_secret | |||
| WakaTime | wakatime_oauth_access_token | |||
| WakaTime | wakatime_oauth_refresh_token | |||
| Workato | workato_developer_api_token | |||
| WorkOS | workos_production_api_key | |||
| WorkOS | workos_staging_api_key | |||
| Yandex | yandex_iam_access_secret | |||
| Yandex | yandex_cloud_api_key | |||
| Yandex | yandex_cloud_iam_cookie | |||
| Yandex | yandex_cloud_iam_token | |||
| Yandex | yandex_cloud_smartcaptcha_server_key | |||
| Yandex | yandex_dictionary_api_key | |||
| Yandex | YANDEX_PASSPORT_OAUTH_TOKEN | |||
| Yandex | yandex_predictor_api_key | |||
| Yandex | yandex_translate_api_key | |||
| Zuplo | zuplo_consumer_api_key |