비밀 검사를 사용하는 일반 비밀 검색 정보

secret scanning이(가) AI를 사용하여 암호와 같은 구조화되지 않은 비밀에 대한 경고를 검사하고 만드는 방법을 알아봅니다.

이 문서의 내용

참고: secret scanning에 대한 일반 비밀 검색은 베타 버전입니다. 기능 및 설명서는 변경될 수 있습니다. 이 단계에서 일반 비밀 검색은 소스 코드에서 암호 검색으로 제한됩니다.

secret scanning에 대한 일반 비밀 검색 정보

일반 비밀 검색은 소스 코드에서 구조화되지 않은 비밀(암호)을 식별한 다음 경고를 생성하는 secret scanning의 AI 기반 확장입니다.

GitHub Advanced Security 사용자는 소스 코드에서 찾은 파트너 또는 사용자 지정 패턴에 대해 비밀 검사 경고을(를) 이미 받을 수 있지만 구조화되지 않은 비밀은 쉽게 검색할 수 없습니다. AI 기반 일반 비밀 검색은 LLM(거대 언어 모델)을 사용하여 이러한 유형의 비밀을 식별합니다.

암호가 검색되면 secret scanning 경고 목록에(리포지토리, 조직 또는 엔터프라이즈의 보안 탭) 경고가 표시되므로 그 결과 유지 관리자 및 보안 관리자는 경고를 검토하고 필요한 경우 자격 증명을 제거하거나 수정을 구현할 수 있습니다.

일반 비밀 검색을 사용하려면 엔터프라이즈 소유자는 엔터프라이즈 수준에서 정책을 설정합니다. 그런 다음 리포지토리에 기능을 사용하도록 설정해야 합니다. 자세한 내용은 "엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용"을(를) 참조하세요.

입력 처리

입력은 사용자가 리포지토리에 검사를 완료한 텍스트(일반적으로 코드)로 제한됩니다. 시스템은 입력 범위 내에서 암호를 찾도록 LLM에 요청하는 메타 프롬프트와 함께 LLM에 해당 텍스트를 제공합니다. 사용자가 LLM과 직접 상호 작용하지 않습니다.

시스템은 LLM을 사용하여 암호를 검사합니다. 시스템에서 기존 secret scanning 기능에서 이미 수집한 데이터 외에는 추가 데이터가 수집되지 않습니다.

출력 및 표시

LLM은 암호와 유사한 문자열을 검색하고 응답에 포함된 식별된 문자열이 실제로 입력에 존재하는지 확인합니다.

해당 검색된 문자열은 secret scanning 경고 페이지에 경고로 표시되지만 정규 비밀 검사 경고와(과)는 별도의 추가 목록에 표시됩니다. 이 별도의 목록은 결과의 유효성을 확인하기 위해 더 면밀한 조사를 통해 심사하고자 하는 의도입니다. 각 경고는 AI를 사용하여 검색된 것을 기록합니다. 일반 비밀에 대한 경고를 보는 방법에 대한 자세한 내용은 "비밀 검사에서 경고 관리"을(를) 참조하세요.

일반 비밀 검색의 성능 개선

일반 비밀 검색의 성능을 개선시키려면 가양성 경고를 적절하게 닫고 문제가 발생할 때 피드백을 제공할 것을 권장합니다.

경고의 정확도 확인 및 적절하게 닫기

AI 기반 일반 비밀 검색은 파트너 패턴에 대한 기존 secret scanning 기능보다 더 많은 가양성을 생성할 수 있으므로 이러한 경고의 정확도를 검토하는 것이 중요합니다. 경고가 가양성으로 확인되면 경고를 닫고 GitHub UI에서 이유를 "가양성"으로 표시해야 합니다. GitHub 개발 팀은 이 정보를 사용하여 모델을 개선합니다.

피드백 제공

일반 비밀 검색은 현재 베타 버전입니다. 이 기능에 문제 또는 제한 사항이 발생하는 경우 리포지토리, 조직 또는 엔터프라이즈에 대한 경고 목록에서 검색된 각 비밀 아래에 나열된 피드백 제공 버튼을 통해 피드백을 제공하는 것이 좋습니다. 이를 통해 개발자가 도구를 개선하고 우려 사항이나 한계를 해결하는 데 도움을 줄 수 있습니다.

일반 비밀 검색의 제한 사항

secret scanning에 일반 비밀 검색을 사용하는 경우 다음 제한 사항을 고려해야 합니다.

제한된 범위

AI 기반 일반 비밀 검색은 현재 git 콘텐츠에서 암호 인스턴스만 찾습니다. 이 기능은 다른 유형의 일반 비밀을 찾을 수 없으며 GitHub Issues와(과) 같이 비 git 콘텐츠에서 비밀을 찾을 수 없습니다.

가양성 경고의 가능성

AI 기반 일반 암호 검색은 기존 secret scanning 기능(파트너 패턴을 검색하고 가양성 비율이 매우 낮음)과 비교할 때 더 많은 가양성 경고를 생성할 수 있습니다. 이러한 과도한 노이즈를 완화하기 위해 경고는 파트너 패턴 경고와는 별도의 목록으로 그룹화되며, 보안 관리자와 유지 관리자는 각 경고를 심사하여 정확성을 확인해야 합니다.

불완전한 보고 가능성

AI 기반 일반 비밀 검색은 리포지토리를 확인하는 자격 증명의 인스턴스를 놓칠 수 있습니다. LLM은 시간이 지나면서 개선됩니다. 사용자는 코드의 보안을 보장할 책임을 유지합니다.

일반 비밀 검색 평가

일반 비밀 검색에는 책임 있는 AI Red Teaming이 적용되며 GitHub은(는) 시간이 지나면서 기능의 효능과 안전을 계속 모니터링합니다.

다음 단계

추가 참고 자료