비밀 검사 정보

이 문서의 내용

GitHub Enterprise Cloud에서는 실수로 커밋된 비밀이 사기에 사용되는 것을 방지하기 위해 리포지토리에 알려진 유형의 비밀이 있는지 검사합니다.

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.com.

Secret scanning alerts for users are available for free on all public repositories. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning" and "About GitHub Advanced Security."

For information about how you can try GitHub Advanced Security for free, see "Setting up a trial of GitHub Advanced Security."

secret scanning 정보

프로젝트에서 외부 서비스와 통신하는 경우 토큰 또는 프라이빗 키를 인증에 사용할 수 있습니다. 토큰과 프라이빗 키는 서비스 공급자가 발급할 수 있는 비밀의 예입니다. 비밀을 리포지토리에 체크 인하면 리포지토리에 대한 읽기 액세스 권한이 있는 모든 사용자가 비밀을 사용하여 해당 권한으로 외부 서비스에 액세스할 수 있습니다. 비밀은 프로젝트의 리포지토리 외부에 있는 안전한 전용 위치에 저장하는 것이 좋습니다.

GitHub 리포지토리가 보관된 경우에도 Secret scanning는 리포지토리에 있는 모든 분기의 전체 Git 기록에서 비밀을 검사합니다. Secret scanning은(는) 이슈 설명 및 메모에서도 비밀을 검색합니다.

또한 secret scanning은(는) 열린 그리고 종료된 과거 문제에서 제목, 설명, 메모를 검사하고 유출된 비밀을 GitHub에서 경고로 보고합니다. 과거 파트너 패턴이 검색되면 관련 파트너에게 알림이 전송됩니다.

Secret scanning는 GitHub.com에서 다음 두 가지 형식으로 사용할 수 있습니다.

  1. 파트너에 대한 비밀 검사 경고. 모든 퍼블릭 리포지토리와 퍼블릭 npm 패키지에서 자동으로 실행됩니다. 서비스 공급자는 GitHub와 협력하여 검사의 비밀 형식을 제공할 수 있으므로 "파트너"라고 할 수 있습니다. 파트너 프로그램에 대해 알아보려면 "비밀 검사 파트너 프로그램"을(를) 참조하세요. 비밀 검사 파트너가 제공한 패턴과 일치하는 모든 문자열은 관련 파트너에게 직접 보고됩니다. 자세한 내용은 아래의 "파트너에 대한 비밀 검사 경고" 섹션을 참조하세요.

  2. 사용자에 대한 비밀 검사 경고. 모든 퍼블릭 리포지토리(무료)와 GitHub Advanced Security 라이선스가 있는 경우 모든 프라이빗 및 내부 리포지토리에서 GitHub Enterprise Cloud을(를) 사용하는 조직이 소유한 리포지토리에서 추가 검사를 사용하도록 설정하고 구성할 수 있습니다.

비밀 검색 파트너, 다른 서비스 공급자 또는 사용자나 조직에서 정의한 패턴과 일치하는 모든 문자열은 리포지토리의 보안 탭에서 경고로 보고됩니다. 퍼블릭 리포지토리 문자열이 파트너 패턴과 일치하는 경우 파트너에게도 보고됩니다. 자세한 내용은 아래의 "사용자에 대한 비밀 검사 경고" 섹션을 참조하세요.

GitHub 도구를 사용하여 secret scanning 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "보안 경고 감사"을(를) 참조하세요.

secret scanning을 리포지토리 또는 조직에 대한 푸시 보호로 사용하도록 설정할 수도 있습니다. 이 기능을 사용하도록 설정하면 secret scanning에서 기여자가 검색된 비밀을 사용하여 코드를 푸시하지 못하도록 방지합니다. 계속하려면 기여자는 푸시에서 비밀을 제거하거나 필요한 경우 보호를 무시해야 합니다. 관리자는 푸시가 차단될 때 기여자에게 표시되는 사용자 지정 링크를 지정할 수도 있습니다. 이 링크는 기여자를 돕기 위해 조직과 관련된 리소스를 포함할 수 있습니다. 자세한 정보는 "리포지토리 및 조직에 대한 푸시 보호"을(를) 참조하세요.

또한 푸시 보호를 사용하도록 설정할 수 있으므로 푸시하는 퍼블릭 리포지토리에 관계없이 보호됩니다. 자세한 내용은 "사용자에 대한 푸시 보호"을(를) 참조하세요.

참고: secret scanning 또는 푸시 보호를 사용하도록 설정한 리포지토리를 포크하는 경우 해당 기능은 기본적으로 포크에서 비활성화됩니다. 포크에서 secret scanning 또는 푸시 보호를 독립 실행형 리포지토리에서와 동일한 방식으로 사용하도록 설정할 수 있습니다.

파트너에 대한 비밀 검사 경고

퍼블릭 리포지토리를 만들거나 변경 내용을 퍼블릭 리포지토리에 푸시하는 경우 GitHub Enterprise Cloud은 항상 코드에서 파트너 패턴과 일치하는 비밀을 검사합니다. npm 레지스트리의 퍼블릭 패키지도 검사 대상입니다. Secret scanning은(는) 이슈 설명 및 메모에서도 비밀을 검색합니다. secret scanning이(가) 잠재적 비밀을 탐지할 경우 해당 비밀을 배포한 서비스 공급자에게 알립니다. 서비스 공급자는 문자열의 유효성을 검사한 다음, 비밀을 철회할지, 새 비밀을 발급할지 또는 사용자에게 직접 연락할지를 결정합니다. 이러한 작업은 자신 또는 사용자에게 관련된 위험에 따라 달라집니다. 자세한 정보는 "비밀 검사 패턴"을(를) 참조하세요.

퍼블릭 리포지토리에서 파트너 패턴에 대한 secret scanning의 구성을 변경할 수 없습니다.

GitHub Enterprise Cloud에 대한 사용자에 대한 비밀 검사 경고

사용자에 대한 비밀 검사 경고은(는) 모든 퍼블릭 리포지토리와 GitHub Advanced Security 라이선스를 보유하고 GitHub Enterprise Cloud을(를) 사용하는 조직이 소유한 프라이빗 및 내부 리포지토리에서 무료로 사용할 수 있습니다. 리포지토리에서 secret scanning을(를) 사용하도록 설정하면 GitHub이(가) 다수의 서비스 공급자가 사용하는 비밀과 일치하는 패턴을 검사합니다. 검사가 완료되면 GitHub이(가) 검색된 비밀이 없는 경우에도 엔터프라이즈 및 조직 소유자에게 이메일 알림을 전송합니다.

Secret scanning은(는) 이슈 설명 및 메모에서도 비밀을 검색합니다. 지원되는 비밀이 유출되면 GitHub Enterprise Cloud이(가) secret scanning 경고를 생성합니다. GitHub은(는) secret scanning을(를) 사용하는 GitHub Advanced Security 리포지토리의 기존 콘텐츠에 대해 전체 Git 기록을 주기적으로 검사하며 secret scanning 경고 알림 설정에 따라 경고 알림을 전송합니다. 자세한 내용은 "사용자 경고에 지원되는 비밀"을 참조하세요.

리포지토리 관리자는 보관된 리포지토리를 포함한 모든 리포지토리에서 사용자에 대한 비밀 검사 경고을(를) 사용하도록 설정할 수 있습니다. 조직 사용자는 사용자에 대한 비밀 검사 경고 for 모든 리포지토리 또는 조직 내의 모든 새 리포지토리에서 사용자에 대한 비밀 검사 경고을(를) 사용하도록 설정할 수 있습니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "조직의 보안 및 분석 설정 관리"을 참조하세요.

리포지토리, 조직 또는 엔터프라이즈에 대한 사용자 지정 secret scanning 패턴을 정의할 수도 있습니다. 자세한 내용은 GitHub Enterprise Cloud 설명서의 ‘비밀 검사를 위한 사용자 지정 패턴 정의."

GitHub은(는) 전송 중 및 미사용 시 대칭형 암호화를 사용하여 검색된 비밀을 저장합니다.

비밀 검사 경고

사용

리포지토리에서 secret scanning을(를) 사용하도록 설정하거나 커밋을 secret scanning을(를) 사용하도록 설정된 리포지토리에 푸시하면 GitHub이(가) 콘텐츠를 대상으로 서비스 공급자가 정의한 패턴 및 엔터프라이즈, 조직 또는 리포지토리에 정의된 모든 사용자 지정 패턴과 일치하는 비밀을 검사합니다. Secret scanning은(는) 이슈 설명 및 메모에서도 비밀을 검색합니다. GitHub은(는) 새 파트너 패턴 또는 사용자 지정 패턴이 추가되거나 업데이트된 경우 secret scanning을(를) 사용하도록 설정된 리포지토리의 모든 기록 코드 콘텐츠를 검사합니다.

secret scanning이(가) 커밋, 문제 설명 또는 메모에서 비밀을 감지하면 GitHub에서 경고를 생성합니다.

  • GitHub에서 리포지토리 관리자와 조직 소유자에게 이메일 경고를 보냅니다. 리포지토리를 감시하는 경우, 보안 경고나 리포지토리의 모든 활동에 대한 알림을 활성화한 경우 그리고 알림 설정에서 감시 중인 리포지토리에 대한 이메일 알림 수신을 선택한 경우 알림이 전송됩니다.
  • 커밋, 문제 설명 또는 메모에서 비밀을 소개한 사용자가 리포지토리를 무시하지 않는 경우 GitHub에서도 이메일 경고를 보냅니다. 이메일에는 관련 secret scanning 경고에 대한 링크가 포함됩니다. 비밀을 소개한 사용자는 리포지토리에서 경고를 보고 경고를 해결할 수 있습니다.
  • GitHub은(는) 리포지토리의 보안 탭에 경고를 표시합니다.

비밀 검사 경고 보기 및 해결에 대한 자세한 내용은 "비밀 검사에서 경고 관리"을(를) 참조하세요.

비밀 검사 경고의 알림 구성 방법에 대한 자세한 내용은 "비밀 검사 경고의 알림 구성"을 참조하세요.

리포지토리 관리자와 조직 소유자는 비밀 검사 경고 액세스 권한을 사용자와 팀에 부여할 수 있습니다. 자세한 정보는 "리포지토리에 대한 보안 및 분석 설정 관리"을(를) 참조하세요.

보안 개요를 사용하여 secret scanning이(가) 사용하도록 설정된 리포지토리 및 검색된 경고에 대한 조직 수준 보기를 확인할 수 있습니다. 자세한 정보는 "보안 개요"을(를) 참조하세요.

REST API를 사용하여 리포지토리. API 엔드포인트에 대한 자세한 내용은 "비밀 검사"을(를) 참조하세요.

추가 참고 자료