비밀 검사에서 경고 관리

이 문서의 내용

리포지토리에 체크 인된 비밀에 대한 경고를 보고 닫을 수 있습니다.

이 기능을 사용할 수 있는 사람

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.com.

Secret scanning alerts for users are available for free on all public repositories. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning" and "About GitHub Advanced Security."

For information about how you can try GitHub Advanced Security for free, see "Setting up a trial of GitHub Advanced Security."

높은 정확도의 패턴에서 경고 관리

참고: 경고는 이(가) 활성화된 리포지토리에 대해서만 생성됩니다. 무료 서비스를 사용하는 공용 리포지토리에 및 npm 패키지에 있는 비밀은 경고를 만들지 않고 파트너에게 직접 보고됩니다. 자세한 내용은 "비밀 검사 패턴"을(를) 참조하세요.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.

  4. 필요에 따라 경고 유효성 상태로 필터링하려면 "Secret scanning의"유효성" 드롭다운 메뉴에서 상태를 선택한 다음 적용하려는 필터를 클릭합니다. 또는 검색 필드의 validity 키를 사용하여 필터링합니다. 예를 들어 validity:active,unknown에서처럼 다중 유효성 상태를 쉼표로 구분된 문자열로 지정하여 경고를 필터링할 수 있습니다. 유효성 상태 대한 자세한 내용은 아래의 "파트너 패턴 유효성 검사"를 참조하세요.

    참고: 파트너 패턴의 유효성 검사는 현재 베타 버전이며 변경될 수 있습니다.

    To be able to filter by validity status, you need to have enabled validity checks for partner patterns in a repository, or have organization owners and enterprise administrators enable the feature for all repositories in the organization or enterprise settings. For more information, see "리포지토리에 대한 보안 및 분석 설정 관리," "조직의 보안 및 분석 설정 관리," and "엔터프라이즈용 GitHub Advanced Security 기능 관리."

  5. "Secret scanning"에서 보려는 경고를 클릭합니다.

    참고: 높은 정확도 보기는 secret scanning 경고 목록의 기본값 보기입니다. 리포지토리 또는 조직에 대해 비 공급자 패턴을 검색할 수 있는 경우, 비 공급자 경고를 볼 수 있도록 다른 보기를 사용해야 합니다. 자세한 내용은 아래의 "비 공급자 패턴에서 경고 관리"를 참조하세요.

  6. 선택적으로 토큰의 유효성 검사를 수행하려면 경고의 오른쪽 상단에서 비밀 확인을(를) 클릭합니다. 자세한 내용은 "파트너 패턴 유효성 검사"를 참조하세요.

    참고: 리포지토리에 대해 자동 유효성 검사를 사용하도록 설정된 경우에만 리포지토리에서 검색된 패턴에 대해 주문형 유효성 검사를 수행할 수 있습니다. 자세한 내용은 "리포지토리에서 파트너 패턴에 대한 유효성 검사 허용"을 참조하세요.

  7. 필요에 따라 유출된 비밀이 GitHub 토큰인 경우 토큰 메타데이터를 검토할 수 있습니다. 토큰 메타데이터 검토에 대한 자세한 내용은 "GitHub 토큰 메타데이터 검토"를 참조하세요.

  8. 경고를 해제하려면 "다음으로 닫기" 드롭다운 메뉴를 선택하고 경고 해결 이유를 클릭합니다.

    secret scanning 경고 스크린샷입니다. "다음으로 닫기"라는 드롭다운 메뉴가 진한 주황색 윤곽선으로 확장되고 강조 표시됩니다.

  9. 필요에 따라 "메모" 필드에 해제 주석을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. 경고 타임라인에서 해제된 모든 경고 및 해제 주석의 기록을 볼 수 있습니다. Secret scanning API를 사용하여 주석을 검색하거나 설정할 수도 있습니다. 설명은 resolution_comment 필드에 포함됩니다. 자세한 내용은 REST API 설명서의 “비밀 검사”을 참조하세요.

  10. [경고 닫기] 를 클릭합니다.

비 공급자 패턴에서 경고 관리

Note: The detection of non-provider patterns is currently in beta and subject to change.

비 공급자 패턴은 프라이빗 키와 같은 패턴이며 높은 정확도 패턴보다 가양성의 비율이 높습니다.

조직 소유자 또는 리포지토리 관리자는 조직 또는 리포지토리의 secret scanning에 대한 비 공급자 패턴을 검색하여 비 공급자 패턴을 검사할 수 있도록 설정해야 합니다. 자세한 내용은 "리포지토리에 대한 비밀 검사 구성"을(를) 참조하세요.

비 공급자 경고는 높은 정확도 경고와 다릅니다. 비 공급자 경고:

  • 보안 개요에 대한 요약 보기에는 표시되지 않고 "Secret scanning" 보기에만 표시됩니다.
  • 신뢰도가 높은 경고와는 다른 보기에 나열됩니다. 이 보기를 "기타"라고 합니다.
  • 처음 다섯 개의 검색된 위치만 GitHub에 표시됩니다.
  • 리포지토리당 경고 수량이 5000개(열린 경고 및 닫힌 경고 포함)로 제한됩니다.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.

  4. secret scanning 경고 목록의 오른쪽 위 모서리에서 기타를 클릭합니다.

    secret scanning 경고 목록 스크린샷입니다. "기타"라는 버튼은 진한 주황색 윤곽선으로 강조 표시됩니다.

  5. 보기를 원하는 경고를 클릭합니다.

  6. 경고를 해제하려면 "다음으로 닫기" 드롭다운 메뉴를 선택하고 경고 해결 이유를 클릭합니다.

  7. 필요에 따라 "메모" 필드에 해제 주석을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. 경고 타임라인에서 해제된 모든 경고 및 해제 주석의 기록을 볼 수 있습니다.

  8. [경고 닫기] 를 클릭합니다.

파트너 패턴 유효성 검사

참고: 파트너 패턴의 유효성 검사는 현재 베타 버전이며 변경될 수 있습니다.

GitHub.com의 모든 리포지토리에서 파트너 패턴의 유효성 검사를 사용할 수 있습니다. 이 기능을 사용하려면 GitHub Advanced Security 라이선스가 있어야 합니다.

secret scanning이(가) 관련 파트너에게 리포지토리에 있는 비밀을 전송하여 유효성을 검사할 수 있습니다.

리포지토리, 조직 또는 엔터프라이즈에 대한 코드 보안 설정에서 지원되는 파트너 패턴에 대해 자동 유효성 검사를 수행할 수 있습니다. GitHub은(는) 주기적으로 패턴을 관련 파트너에게 보내 비밀의 유효성을 검사하고 경고 보기에 비밀의 유효성 검사 상태를 표시합니다.

리포지토리, 조직 또는 엔터프라이즈에서 파트너 패턴에 대해 자동 유효성 검사를 수행하도록 설정하는 방법에 대한 자세한 내용은 "리포지토리에서 파트너 패턴에 대한 유효성 검사 허용", "조직에서 파트너 패턴에 대한 유효성 검사 허용" 및 "고급 보안 기능 관리"를 참조하세요.

리포지토리에서 유효성 검사를 수행하도록 설정된 경우 경고 보기에서 비밀 확인을 클릭하여 비밀에 대한 주문형 유효성 검사를 수행할 수도 있습니다. GitHub은(는) 관련 파트너에게 패턴을 보내고 경고 보기에 비밀의 유효성 검사 상태를 표시합니다.

유효성 상태로 지원되는 파트너 패턴에 대한 경고를 필터링하고 유출된 비밀의 상태를 사용하여 수정 단계가 필요한 비밀의 우선 순위를 지정할 수 있습니다.

유효성 검사결과
활성 비밀GitHub이(가) 비밀이 활성 상태인지 확인했습니다.
활성 비밀GitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다.
활성 비밀일 수 있음GitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다.
활성 비밀일 수 있음GitHub은(는) 이 비밀을 확인할 수 없습니다.
비밀이 비활성 상태로 표시됨무단 액세스가 아직 발생하지 않았는지 확인해야 합니다.

유효성 검사를 지원하는 파트너에 대한 자세한 내용은 "지원되는 비밀"을 참조하세요.

GitHub 토큰 메타데이터 검토

참고: GitHub 토큰의 메타데이터가 현재 공개 베타 중이며 변경될 수 있습니다.

활성 GitHub 토큰 경고에 대한 보기에서 토큰에 대한 특정 메타데이터를 검토할 수 있습니다. 이 메타데이터는 토큰을 식별하고 어떤 수정 단계를 수행할지 결정하는 데 도움이 될 수 있습니다. 개별 경고고 보기에 대한 자세한 내용은 “secret scanning의 경고 관리”를 참조하세요.

personal access token 및 기타 자격 증명과 같은 토큰은 개인 정보로 간주됩니다. GitHub 토큰을 사용하는 방법에 대한 자세한 내용은 GitHub의 개인정보처리방침허용 가능한 사용 정책을 참조하세요.

토큰 메타데이터를 보여 주는 GitHub 토큰의 UI 스크린샷입니다.

GitHub 토큰에 대한 메타데이터는 비밀 검사를 사용하도록 설정된 모든 리포지토리의 활성 토큰에 사용할 수 있습니다. 토큰이 해지되었거나 해당 상태를 확인할 수 없는 경우 메타데이터를 사용할 수 없습니다. GitHub이(가) 공용 리포지토리에서 GitHub 토큰을 자동으로 해지하므로 공용 리포지토리의 GitHub 토큰에 대한 메타데이터를 사용할 수 없습니다. 활성 GitHub 토큰에 다음 메타데이터를 사용할 수 있습니다:

메타데이터설명
비밀 이름작성자가 GitHub 토큰에 지정한 이름
비밀 소유자토큰 소유자의 GitHub 핸들
만든 날짜토큰이 생성된 날짜
만료된 날짜토큰이 만료된 날짜
마지막으로 사용된 날짜토큰이 마지막으로 사용된 날짜
Access토큰에 조직 액세스 권한이 있는지 여부

AI를 사용하여 검색된 일반 비밀에 대한 경고 보기

참고: secret scanning에 대한 일반 비밀 검색은 베타 버전입니다. 기능 및 설명서는 변경될 수 있습니다. 엔터프라이즈 계정이 있고 GitHub Advanced Security을(를) 사용하는 경우 GitHub Advanced Security AI 기능 대기 목록에 참가할 수 있습니다.

이 단계에서 일반 비밀 검색은 소스 코드에서 암호 검색으로 제한됩니다.

리포지토리에 대한 AI 기반 일반 암호 검색을 사용하도록 설정하면 secret scanning은(는) 소스 코드에서 암호와 같은 구조화되지 않은 비밀을 검색하고 경고를 생성합니다.

잠재적 암호가 식별되면 (리포지토리의 보안 탭에서)secret scanning 경고 페이지의 별도 목록에 경고가 표시됩니다. 별도의 보기를 사용하면 결과의 유효성을 더 쉽게 심사하고 확인할 수 있습니다.

일반 비밀에 대한 경고의 별도 목록을 보려면 경고 페이지에서 "기타"로 전환해야 합니다. 각 경고는 AI를 사용하여 검색된 것을 기록합니다.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.

  4. secret scanning 경고 목록의 오른쪽 위 모서리에서 "기타"로 전환합니다.

    리포지토리에 대한 secret scanning 경고 인덱스 보기 스크린샷입니다. "기타"라는 토글 키는 진한 주황색 윤곽선으로 강조 표시됩니다.

기능과 제한 사항에 대한 자세한 내용은 "비밀 검사를 사용하는 일반 비밀 검색 정보"을(를) 참조하세요. 리포지토리에 대해 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "AI 기반 일반 비밀 검색 사용"을(를) 참조하세요.

손상된 비밀 보안

비밀이 리포지토리에 커밋되면 보안이 손상된 것으로 간주해야 합니다. GitHub에서는 손상된 비밀에 대해 다음 작업을 권장합니다.

  • 손상된 GitHub personal access token에 대해 손상된 토큰을 삭제하고, 새 토큰을 만든 후 이전 토큰을 사용하는 모든 서비스를 업데이트합니다. 자세한 내용은 "개인용 액세스 토큰 관리"을(를) 참조하세요.
  • 다른 모든 비밀의 경우 먼저 GitHub Enterprise Cloud에 커밋된 비밀이 유효한지 확인합니다. 그렇다면 새 비밀을 만들고 이전 비밀을 사용하는 모든 서비스를 업데이트한 후 이전 비밀을 삭제합니다.

참고: GitHub.com의 공용 리포지토리에서 비밀이 검색되고 비밀도 파트너 패턴과 일치하는 경우 경고가 생성되고 잠재적 비밀이 서비스 공급자에게 보고됩니다. 파트너 패턴에 대한 자세한 내용은 "비밀 검사 패턴"을 참조하세요.

비밀 검사 경고에 대한 알림 구성

알림이 증분 검사 및 기록 검색에 대해 다릅니다.

증분 검색

새 비밀이 검색되면 GitHub Enterprise Cloud은 알림 기본 설정에 따라 리포지토리에 대한 보안 경고에 액세스할 수 있는 모든 사용자에게 알릴 수 있습니다. 사용자는 다음과 같습니다.

  • 리포지토리 관리자
  • 보안 관리자
  • 읽기/쓰기 권한이 있는 사용자 지정 역할의 사용자
  • 비밀이 유출된 리포지토리의 관리자인 경우 조직 소유자 및 엔터프라이즈 소유자

참고: 실수로 비밀을 커밋한 커밋 작성자는 알림 기본 설정에 관계없이 알림을 받습니다.

다음의 경우 이메일 알림을 받습니다.

  • 리포지토리를 보고 있습니다.
  • 리포지토리에서 "모든 활동" 또는 사용자 지정 "보안 경고"에 대한 알림을 사용하도록 설정했습니다.
  • 알림 설정에 있는 "구독"의 "시청 중"에서 이메일로 알림을 받도록 선택했습니다.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 시청을 시작하려면 Watch를 선택합니다.

    리포지토리의 기본 페이지 스크린샷입니다. "조사식"이라는 드롭다운 메뉴가 주황색 윤곽선으로 강조 표시됩니다.

  3. 드롭다운 메뉴에서 [모든 활동] 을 클릭합니다. 또는 보안 경고만 구독하려면 [사용자 지정] 을 클릭한 다음 [보안 경고] 를 클릭합니다.

  4. 개인 계정의 알림 설정으로 이동합니다. 이러한 항목은 사용할 수 있습니다https://github.com/settings/notifications.

  5. 알림 설정 페이지의 "구독"에서 "시청 중"에서 알림 드롭다운을 선택합니다.

  6. 알림 옵션으로 "전자 메일"을 선택한 다음 저장을 클릭합니다.

    사용자 계정에 대한 알림 설정의 스크린샷입니다. "구독"이라는 요소 헤더와 "시청 중"이라는 하위 헤더가 표시됩니다. "전자 메일"이라는 체크 상자가 주황색 윤곽선으로 강조 표시됩니다.

알림 기본 설정에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 보기 설정 구성"을 참조하세요.

기록 검색

기록 검색의 경우 GitHub Enterprise Cloud이(가) 다음 사용자에게 알립니다.

  • 조직 소유자, 엔터프라이즈 소유자 및 보안 관리자는 기록 검색이 완료될 때마다 비밀이 발견되지 않더라도 언제든지 사용할 수 있습니다.
  • 읽기/쓰기 액세스 권한이 있는 사용자 지정 역할의 리포지토리 관리자, 보안 관리자 및 사용자는 기록 검색에서 비밀을 검색할 때마다 알림 기본 설정에 따라 읽기/쓰기 권한을 가집니다.

커밋 작성자에게 알리지 않습니다.

알림 기본 설정에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 보기 설정 구성"을 참조하세요.

비밀 검색 경고에 대한 응답 감사

GitHub 도구를 사용하여 secret scanning 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "보안 경고 감사"을(를) 참조하세요.