경고 해결하기
비밀이 리포지토리에 커밋되면 보안이 손상된 것으로 간주해야 합니다. GitHub에서는 손상된 비밀에 대해 다음 작업을 권장합니다.
- GitHub에 커밋된 비밀이 유효한지 확인합니다. "주문형 유효성 검사 수행"을 참조하세요.
- 프라이빗 리포지토리에서 검색된 비밀의 경우 유출된 비밀을 GitHub에 보고하면 이를 공개적으로 유출된 비밀처럼 취급하고 취소합니다. GitHub personal access token에만 적용됩니다. "유출된 비밀 보고"를 참조하세요.
- 이전 토큰을 사용하는 모든 서비스를 검토하고 업데이트합니다. GitHub personal access token의 경우 손상된 토큰을 삭제하고 새 토큰을 만듭니다. "개인용 액세스 토큰 관리"을(를) 참조하세요.
- 비밀 공급자에 따라 보안 로그에 권한이 없는 활동이 있는지 확인합니다.
유출된 비밀 보고
Note
개인적으로 노출된 비밀을 GitHub에 보고하는 것은 공개 미리 보기에 있으며 변경될 수 있습니다. 이 기능은 현재 GitHub personal access token(v1 및 v2)에서만 사용할 수 있습니다
GitHub의 퍼블릭 리포지토리에서 시크릿이 탐지되고 시크릿이 지원되는 파트너 패턴과도 일치하는 경우 잠재적 시크릿이 서비스 공급자에게 자동으로 보고됩니다. 지원되는 모든 파트너 패턴에 대한 자세한 내용은 "지원되는 비밀 검사 패턴"을(를) 참조하세요.
프라이빗 리포지토리에서 검색된 비밀의 경우 리포지토리에 대한 비밀 검사 경고를 볼 수 있는 모든 사용자는 비공개로 노출된 비밀을 GitHub에 직접 보고하도록 선택할 수 있습니다.
비밀을 보고하면 토큰 공급자는 비공개로 노출된 비밀을 공개적으로 유출된 것처럼 처리합니다. 즉, 토큰 공급자가 비밀을 취소할 수 있으므로 먼저 비밀을 사용하는 모든 서비스를 검토하고 업데이트하는 것이 좋습니다. 가능하면 토큰 소유자가 비밀이 취소될 수 있음을 알 수 있도록 토큰을 보고하기 전에 토큰 소유자에게 알리는 것도 고려해야 합니다.
다음 조건이 충족되는 경우 비공개로 노출된 비밀을 GitHub에 보고하는 옵션만 표시됩니다.
- 비밀은 GitHub personal access token입니다.
- 비밀의 유효성이 확인되지 않았거나 비밀의 유효성이
active
로 확인되었습니다.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.
-
경고 목록에서 보려는 경고를 클릭합니다.
-
유출된 비밀에 대한 경고 보기에서 유출 보고를 클릭합니다.
Note
워크플로를 중단하지 않도록 하려면 비밀을 공개하면 비밀이 취소될 수 있으므로 계속하기 전에 먼저 비밀을 변경하는 것이 좋습니다. 가능하면 토큰 소유자에게 연락하여 누출에 대해 알리고 수정 계획을 조정해야 합니다.
-
대화 상자에서 정보를 검토한 다음 결과를 이해하고 이 비밀을 보고합니다를 클릭합니다.
경고 닫기
Note
Secret scanning은(는) 리포지토리에서 해당 토큰이 제거된 경우 경고를 자동으로 종료하지 않습니다. GitHub의 경고 목록에서 이러한 경고를 수동으로 닫아야 합니다.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.
-
"Secret scanning" 아래에서 보려는 경고를 클릭합니다.
-
경고를 해제하려면 "다음으로 닫기" 드롭다운 메뉴를 선택하고 경고 해결 이유를 클릭합니다.
-
필요에 따라 "메모" 필드에 해제 주석을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. 경고 타임라인에서 해제된 모든 경고 및 해제 주석의 기록을 볼 수 있습니다. Secret scanning API를 사용하여 주석을 검색하거나 설정할 수도 있습니다. 설명은
resolution_comment
필드에 포함됩니다. 자세한 내용은 REST API 설명서의 “비밀 검사를 위한 REST API 엔드포인트”을 참조하세요. -
[경고 닫기] 를 클릭합니다.