Skip to main content

비밀 검사 패턴

GitHub가 실수로 커밋된 비밀의 악용을 방지하기 위해 사용하고 함께 일하는 지원되는 비밀 및 파트너 목록입니다.

Who can use this feature?

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.com.

Secret scanning alerts for users are available for free on all public repositories. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning" and "About GitHub Advanced Security."

For information about how you can try GitHub Advanced Security for free, see "Setting up a trial of GitHub Advanced Security."

secret scanning 패턴 정보

GitHub Enterprise Cloud은(는) 다음의 서로 다른 기본 secret scanning 패턴 집합을 유지 관리합니다.

  1. 파트너 패턴. 모든 퍼블릭 리포지토리 및 퍼블릭 npm 패키지에서 잠재적 비밀을 검색하는 데 사용됩니다. 파트너 프로그램에 대해 알아보려면 "비밀 검사 파트너 프로그램"을(를) 참조하세요.

  2. 사용자 경고 패턴. 리포지토리에서 사용자에 대한 비밀 검사 경고을(를) 사용하여 잠재적 비밀을 검색하는 데 사용됩니다.

  3. 푸시 보호 패턴. secret scanning을(를) 푸시 보호로 사용할 수 있는 리포지토리에서 잠재적 비밀을 검색하는 데 사용됩니다.

지원되는 모든 패턴에 대한 자세한 내용은 아래의 "지원되는 비밀" 섹션을 참조하세요.

secret scanning이(가) 리포지토리에 커밋된 비밀을 감지해야 하는데 감지하지 않은 경우 먼저 GitHub이(가) 해당 비밀을 지원하는지 확인합니다. 자세한 내용은 아래 섹션을 참조하세요. 자세한 문제 해결 정보는 "비밀 검사 문제 해결"을(를) 참조하세요.

파트너 경고 정보

파트너 경고는 비밀 공급자의 비밀 유출이 보고될 때마다 비밀 공급자에게 전송되는 경고입니다. GitHub Enterprise Cloud은(는) 현재 퍼블릭 리포지토리 및 퍼블릭 npm 패키지에서 특정 서비스 공급자가 발급한 비밀을 검색하고 커밋에서 비밀이 검색되면 관련 서비스 공급자에게 경고합니다. secret scanning에 대한 자세한 내용은 “비밀 검사 정보”을(를) 참조하세요.

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

사용자 경고 정보

사용자 경고는 GitHub에서 사용자에게 보고되는 경고입니다. 사용자에 대한 비밀 검사 경고 을(를) 사용하도록 설정하면 GitHub이(가) 리포지토리에서 다양한 서비스 공급자가 발급한 비밀을 검색하고 을(를) 생성합니다.

사용자 경고는 다음과 같은 유형일 수 있습니다.

  • 지원되는 패턴 및 지정된 사용자 지정 패턴과 관련된 높은 신뢰도 경고입니다.
  • 가양성의 비율이 높고 프라이빗 키와 같은 비밀에 해당하는 비 공급자 경고입니다.

GitHub은(는) 신뢰도가 높은 경고와 다른 목록에 비 공급자 경고를 표시하여 사용자에게 더 나은 환경을 제공합니다. 자세한 내용은 "비 공급자 패턴에서 경고 관리"를 참조하세요.

참고: 비공급자 패턴 감지는 현재 베타 버전이며 변경될 수 있습니다.

리포지토리의 보안 탭에서 이러한 경고를 볼 수 있습니다. 사용자에 대한 비밀 검사 경고에 대한 자세한 내용은 "비밀 검사 정보"을 참조하세요.

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

비밀 검사에 REST API를 사용하는 경우 Secret type을 사용하여 특정 발급자의 비밀을 보고할 수 있습니다. 자세한 내용은 "비밀 검사"을(를) 참조하세요.

참고: 리포지토리, 조직 또는 엔터프라이즈에 대한 사용자 지정 secret scanning 패턴을 정의할 수도 있습니다. 자세한 내용은 "비밀 검사를 위한 사용자 지정 패턴 정의"을(를) 참조하세요.

푸시 보호 경고 정보

푸시 보호 경고는 푸시 보호에서 보고되는 사용자 경고입니다. Secret scanning은(는) 푸시 보호로 현재 리포지토리에서 일부 서비스 공급자가 발급한 비밀을 검색합니다.

푸시 보호 경고는 사용자 기반 푸시 보호로만 바이패스되는 비밀에 대해 생성되지 않습니다. 자세한 정보는 "사용자에 대한 푸시 보호"을 참조하세요.

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 최근에 만든 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 "비밀 검사 문제 해결"을 참조하세요.

지원되는 비밀

이 표에는 secret scanning에서 지원하는 비밀이 나열되어 있습니다. 각 토큰에 대해 생성되는 경고 유형과 토큰에서 유효성 검사가 수행되는지 여부를 확인할 수 있습니다.

  • 공급자 - 토큰 공급자의 이름입니다.

  • 파트너 - 관련된 토큰 파트너에게 유출이 보고되는 토큰입니다. 퍼블릭 리포지토리에만 적용됩니다.

  • 사용자 - GitHub에서 사용자에게 유출이 보고되는 토큰입니다.

    • 퍼블릭 리포지토리 및 GitHub Advanced Security, secret scanning인 프라이빗 리포지토리에 적용됩니다.
    • 지원되는 패턴 및 지정된 사용자 지정 패턴과 관련된 높은 신뢰도 토큰뿐만 아니라 일반적으로 가양성의 비율이 높은 프라이빗 키와 같은 비 공급자 토큰을 포함합니다.
    • secret scanning이(가) 비 공급자 패턴을 검색하려면 리포지토리 또는 조직에 대해 비 공급자 패턴 검색을 사용하도록 설정해야 합니다. 자세한 내용은 "리포지토리에 대한 비밀 검사 구성"을(를) 참조하세요.

    참고: 비공급자 패턴 감지는 현재 베타 버전이며 변경될 수 있습니다.

  • 푸시 보호 - GitHub에서 사용자에게 유출이 보고되는 토큰입니다. secret scanning 및 푸시 보호를 사용하도록 설정한 리포지토리에 적용됩니다.

    참고: 이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 최근에 만든 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 "비밀 검사 문제 해결"을(를) 참조하세요.

  • 유효성 검사 - 유효성 검사가 구현되는 토큰입니다. 파트너 토큰의 경우 GitHub은(는) 관련 파트너에게 토큰을 보냅니다. 모든 파트너가 미국에 본사를 두고 있는 것은 아닙니다. 자세한 내용은 사이트 정책 설명서의 "Advanced Security"을 참조하세요.

비 공급자 패턴

참고: 비공급자 패턴 감지는 현재 베타 버전이며 변경될 수 있습니다.

공급자토큰
일반http_basic_authentication_header
일반http_bearer_authentication_header
일반mongodb_connection_string
일반mysql_connection_string
일반openssh_private_key
일반pgp_private_key
일반postgres_connection_string
일반rsa_private_key

비 공급자 패턴에는 푸시 보호 및 유효성 검사|확인 지원되지 않습니다.

높은 신뢰도 패턴

공급자토큰파트너사용자푸시 보호유효성 검사
Adafruit IOadafruit_io_key
Adobeadobe_client_secret
Adobeadobe_device_token
Adobeadobe_pac_token
Adobeadobe_refresh_token
Adobeadobe_service_token
Adobeadobe_short_lived_access_token
Aivenaiven_auth_token
Aivenaiven_service_password
Alibaba Cloudalibaba_cloud_access_key_id
alibaba_cloud_access_key_secret
Login with Amazonamazon_oauth_client_id
amazon_oauth_client_secret
Amazon Web Services (AWS)aws_access_key_id
aws_secret_access_key
Amazon Web Services (AWS)aws_session_token
aws_temporary_access_key_id
aws_secret_access_key
Anthropicanthropic_api_key
Asanaasana_personal_access_token
Atlassianatlassian_api_token
Atlassianatlassian_jwt
Atlassianbitbucket_server_personal_access_token
Authressauthress_service_client_access_key
Azureazure_active_directory_application_secret
Azureazure_batch_key_identifiable
Azureazure_cache_for_redis_access_key
Azureazure_container_registry_key_identifiable
Azureazure_cosmosdb_key_identifiable
Azureazure_devops_personal_access_token
Azureazure_function_key
Azureazure_ml_web_service_classic_identifiable_key
Azureazure_sas_token
Azureazure_search_admin_key
Azureazure_search_query_key
Azureazure_management_certificate
Azureazure_sql_connection_string
Azureazure_sql_password
Azureazure_storage_account_key
Baidubaiducloud_api_accesskey
Beamerbeamer_api_key
Canadian Digital Servicecds_canada_notify_api_key
Canvacanva_connect_api_secret
CashfreeCashfree API Key
Checkout.comcheckout_production_secret_key
Checkout.comcheckout_test_secret_key
Chief Toolschief_tools_token
Clojarsclojars_deploy_token
CloudBees CodeShipcodeship_credential
Contentfulcontentful_personal_access_token
Contributed SystemsCONTRIBUTED_SYSTEMS_CREDENTIALS
crates.io (Rust Foundation)cratesio_api_token
Databricksdatabricks_access_token
DatadogDATADOG_API_KEY
Defineddefined_networking_nebula_api_key
DevCycledevcycle_client_api_key
DevCycledevcycle_mobile_api_key
DevCycledevcycle_server_api_key
DigitalOceandigitalocean_oauth_token
DigitalOceandigitalocean_personal_access_token
DigitalOceandigitalocean_refresh_token
DigitalOceandigitalocean_system_token
Discorddiscord_api_token_v2
Discorddiscord_bot_token
Dockerdocker_personal_access_token
Dopplerdoppler_audit_token
Dopplerdoppler_cli_token
Dopplerdoppler_personal_token
Dopplerdoppler_scim_token
Dopplerdoppler_service_token
Dopplerdoppler_service_account_token
Dropboxdropbox_access_token
Dropboxdropbox_short_lived_access_token
Duffelduffel_live_access_token
Duffelduffel_test_access_token
Dynatracedynatrace_access_token
Dynatracedynatrace_internal_token
EasyPosteasypost_production_api_key
EasyPosteasypost_test_api_key
eBayebay_production_client_id
ebay_production_client_secret
eBayebay_sandbox_client_id
ebay_sandbox_client_secret
Fastlyfastly_api_token
Figmafigma_pat
Finicityfinicity_app_key
Flutterwaveflutterwave_live_api_secret_key
Flutterwaveflutterwave_test_api_secret_key
Frame.ioframeio_developer_token
Frame.ioframeio_jwt
FullStoryfullstory_api_key
GitHubgithub_app_installation_access_token
GitHubgithub_oauth_access_token
GitHubgithub_personal_access_token
GitHubgithub_refresh_token
GitHubgithub_ssh_private_key
GitLabgitlab_access_token
GoCardlessgocardless_live_access_token
GoCardlessgocardless_sandbox_access_token
Googlefirebase_cloud_messaging_server_key
Googlegoogle_cloud_storage_service_account_access_key_id
google_cloud_storage_access_key_secret
Googlegoogle_cloud_storage_user_access_key_id
google_cloud_storage_access_key_secret
Googlegoogle_oauth_access_token
Googlegoogle_oauth_client_id
google_oauth_client_secret
Googlegoogle_oauth_refresh_token
Google Cloudgoogle_api_key
Google Cloudgoogle_cloud_private_key_id
Grafanagrafana_cloud_api_key
Grafanagrafana_cloud_api_token
Grafanagrafana_project_api_key
Grafanagrafana_project_service_account_token
HashiCorphashicorp_vault_batch_token
HashiCorphashicorp_vault_root_service_token
HashiCorphashicorp_vault_service_token
Hashicorp Terraformterraform_api_token
Highnotehighnote_rk_live_key
Highnotehighnote_rk_test_key
Highnotehighnote_sk_live_key
Highnotehighnote_sk_test_key
Hophop_bearer
Hophop_pat
Hophop_ptk
Hubspothubspot_api_key
Hubspothubspot_api_personal_access_key
Intercomintercom_access_token
Ionicionic_personal_access_token
Ionicionic_refresh_token
JD Cloudjd_cloud_access_key
JFrogjfrog_platform_access_token
JFrogjfrog_platform_api_key
JFrogjfrog_platform_reference_token
Linearlinear_api_key
Linearlinear_oauth_access_token
Loblob_live_api_key
Loblob_test_api_key
LocalStacklocalstack_api_key
LogicMonitorlogicmonitor_bearer_token
LogicMonitorlogicmonitor_lmv1_access_key
Mailchimpmailchimp_api_key
MailchimpMANDRILL_API
Mailgunmailgun_api_key
Mapboxmapbox_secret_access_token
Maxmindmaxmind_license_key
Mercurymercury_non_production_api_token
Mercurymercury_production_api_token
MessageBirdmessagebird_api_key
Metafacebook_access_token
Midtransmidtrans_production_server_key
Midtransmidtrans_sandbox_server_key
New Relicnew_relic_insights_query_key
New Relicnew_relic_license_key
New Relicnew_relic_personal_api_key
New Relicnew_relic_rest_api_key
Notionnotion_integration_token
Notionnotion_oauth_client_secret
npmnpm_access_token
NuGetnuget_api_key
Octopus Deployoctopus_deploy_api_key
Oculusoculus_very_tiny_encrypted_session
OneChronosonechronos_api_key
OneChronosonechronos_eb_api_key
OneChronosonechronos_eb_encryption_key
OneChronosonechronos_oauth_token
OneChronosonechronos_refresh_token
Onfidoonfido_live_api_token
Onfidoonfido_sandbox_api_token
OpenAIopenai_api_key
OpenAIopenai_api_key_v2
Palantirpalantir_jwt
Personapersona_production_api_key
Personapersona_sandbox_api_key
Pinterestpinterest_access_token
Pinterestpinterest_refresh_token
PlanetScaleplanetscale_database_password
PlanetScaleplanetscale_oauth_token
PlanetScaleplanetscale_service_token
Plivoplivo_auth_id
plivo_auth_token
Postmanpostman_api_key
Postmanpostman_collection_key
Prefectprefect_server_api_key
Prefectprefect_user_api_key
PrefectPREFECT_USER_API_TOKEN
Proctorioproctorio_consumer_key
Proctorioproctorio_linkage_key
Proctorioproctorio_registration_key
Proctorioproctorio_secret_key
Pulumipulumi_access_token
PyPIpypi_api_token
ReadMereadmeio_api_access_token
redirect.pizzaredirect_pizza_api_token
Rootlyrootly_api_key
RubyGemsrubygems_api_key
Samsarasamsara_api_token
Samsarasamsara_oauth_access_token
Segmentsegment_public_api_token
SendGridsendgrid_api_key
Sendinbluesendinblue_api_key
Sendinbluesendinblue_smtp_key
Shipposhippo_live_api_token
Shipposhippo_test_api_token
Shopifyshopify_access_token
Shopifyshopify_app_client_credentials
Shopifyshopify_app_client_secret
Shopifyshopify_app_shared_secret
Shopifyshopify_custom_app_access_token
Shopifyshopify_marketplace_token
Shopifyshopify_merchant_token
Shopifyshopify_partner_api_token
Shopifyshopify_private_app_password
Slackslack_api_token
Slackslack_incoming_webhook_url
Slackslack_workflow_webhook_url
Squaresquare_access_token
Squaresquare_production_application_secret
Squaresquare_sandbox_application_secret
SSLMatesslmate_api_key
SSLMatesslmate_cluster_secret
Stripestripe_live_restricted_key
Stripestripe_api_key
Stripestripe_legacy_api_key
Stripestripe_test_restricted_key
Stripestripe_test_secret_key
Stripestripe_webhook_signing_secret
Supabasesupabase_service_key
Tableautableau_personal_access_token
Telegramtelegram_bot_token
Telnyxtelnyx_api_v2_key
Tencent Cloudtencent_cloud_secret_id
Tencent WeChattencent_wechat_api_app_id
Twiliotwilio_access_token
Twiliotwilio_account_sid
Twiliotwilio_api_key
Typeformtypeform_personal_access_token
Uniwisewiseflow_api_key
WakaTimewakatime_pp_secret
WakaTimewakatime_oauth_access_token
WakaTimewakatime_oauth_refresh_token
Workatoworkato_developer_api_token
WorkOSworkos_production_api_key
WorkOSworkos_staging_api_key
Yandexyandex_iam_access_secret
Yandexyandex_cloud_api_key
Yandexyandex_cloud_iam_cookie
Yandexyandex_cloud_iam_token
Yandexyandex_cloud_smartcaptcha_server_key
Yandexyandex_dictionary_api_key
YandexYANDEX_PASSPORT_OAUTH_TOKEN
Yandexyandex_predictor_api_key
Yandexyandex_translate_api_key
Zuplozuplo_consumer_api_key

추가 참고 자료