보안 결과 정보
security configuration을(를) 리포지토리에 적용하면 활성화된 보안 기능이 해당 리포지토리에 대한 보안 결과를 발생시킬 수 있습니다. 이러한 결과는 기능별 경고로 표시되거나 리포지토리를 안전하게 유지하도록 설계된 자동으로 생성된 끌어오기 요청으로 표시될 수 있습니다. 조직 전체에서 결과를 분석하고 security configuration에 필요한 조정을 수행할 수 있습니다.
조직을 가장 잘 보호하려면 기여자가 보안 경고 및 끌어오기 요청을 검토하고 해결하도록 권장해야 합니다. 또한 기여자와 공동 작업하여 기록 보안 경고를 수정할 수 있습니다. "대규모 보안 경고 수정 모범 사례"을(를) 참조하세요.
보안 개요를 사용하여 보안 경고가 있는 리포지토리 찾기
보안 개요에 표시되는 정보는 리포지토리 및 조직에 대한 액세스 권한 및 GitHub Advanced Security이(가) 해당 리포지토리 및 조직에서 사용되는지 여부에 따라 달라집니다. 자세한 내용은 "보안 개요" 항목을 참조하세요.
-
GitHub에서 조직의 기본 페이지로 이동합니다.
-
조직 이름에서 보안을 클릭합니다.
-
기본적으로 개요는 모든 네이티브 GitHub 도구(필터:
tool:github
)에 대한 경고를 보여줍니다. 특정 도구에 대한 경고를 표시하려면 필터 텍스트 상자에서tool:github
를 바꿉니다. 예시:tool:dependabot
는 Dependabot로 식별된 종속성에 대한 경고만 표시합니다.tool:secret-scanning
는 secret scanning로 식별된 비밀에 대한 경고만 표시합니다.tool:codeql
는 CodeQL code scanning로 식별되는 잠재적인 보안 취약성에 대한 경고만 표시합니다.
-
평가하려는 리포지토리만 표시하는 필터를 더 추가할 수 있습니다. 페이지에 표시되는 리포지토리 및 메트릭 목록이 현재 선택 항목과 일치하도록 자동으로 업데이트됩니다. 필터링에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을 참조하세요.
- Teams 드롭다운을 사용하여 하나 이상의 팀이 소유한 리포지토리에 대한 정보만 표시합니다.
- 열려 있는 경고가 있거나 해당 유형의 열린 경고가 없는 리포지토리만 표시하려면 헤더에서 영향을 받는 번호 또는 영향을 받지 않는 숫자를 클릭합니다.
- 헤더에서 "경고 열기"에 대한 설명을 클릭하여 해당 유형 및 범주의 경고가 있는 리포지토리만 표시합니다. 예를 들어 Dependabot에 대한 중요한 경고가 있는 리포지토리를 표시하는 것은 중요한 1개입니다.
- 리포지토리 목록의 맨 위에서 보관된 번호를 클릭하여 보관된 리포지토리만 표시합니다.
-
필요에 따라 왼쪽의 사이드바를 사용하여 특정 보안 기능에 대한 경고를 더 자세히 살펴볼 수 있습니다. 각 페이지에서 해당 기능과 관련된 필터를 사용하여 검색을 구체화할 수 있습니다. 사용 가능한 한정자에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을(를) 참조하세요.
secret scanning 경고 해석
Secret scanning은(는) 리포지토리의 전체 Git 기록뿐만 아니라 해당 리포지토리의 이슈, 끌어오기 요청 및 토론에서 토큰이나 프라이빗 키와 같이 실수로 유출된 비밀이 있는지 스캔하는 보안 도구입니다. secret scanning 경고에는 다음 두 가지 유형이 있습니다.
- 비밀을 발급한 공급자에게 전송되는 파트너에 대한 비밀 검사 경고입니다.
- GitHub Enterprise Cloud에 표시되고 확인할 수 있는 사용자에 대한 비밀 검사 경고
해당 조직의 기본 페이지로 이동하여 보안 탭을 클릭한 다음 Secret scanning 를 클릭하면 해당 조직에 대한 secret scanning 경고를 볼 수 있습니다.
secret scanning 경고고에 대한 소개 내용은 "비밀 검사 경고 정보"을 참조하세요.
secret scanning 경고를 평가하는 방법을 알아보려면 "비밀 검사에서 경고 평가"을 참조하세요.
code scanning 경고 해석
Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별되는 모든 문제는 리포지토리에 표시됩니다. 이러한 문제는 검색된 취약성 또는 오류에 대한 자세한 정보를 포함하는 code scanning 경고로 발생합니다.
해당 조직의 기본 페이지로 이동하여 보안 탭을 클릭한 다음 Code scanning 를 클릭하면 해당 조직에 대한 code scanning 경고를 볼 수 있습니다.
code scanning 경고에 대한 소개 내용은 "코드 검사 경고 정보"을 참조하세요.
code scanning 경고를 해석하고 해결하는 방법을 알아보려면 "리포지토리에 대한 코드 검사 경고 평가" 및 "코드 검사 경고 해결"을 참조하세요.
Dependabot alerts 해석
Dependabot alerts는 조직의 리포지토리에서 사용하는 종속성의 취약점을 알려줍니다. 해당 조직의 기본 페이지로 이동하여 보안 탭을 클릭한 다음 Dependabot 를 클릭하면 해당 조직에 대한 Dependabot alerts를 볼 수 있습니다.
Dependabot alerts에 대한 소개 내용은 "Dependabot 경고 정보"을 참조하세요.
Dependabot alerts를 해석하고 해결하는 방법을 알아보려면 "Dependabot 경고 보기 및 업데이트"을 참조하세요.
참고: Dependabot security updates을(를) 사용하도록 설정한 경우 Dependabot은(는) 리포지토리에 사용되는 종속성을 업데이트하기 위해 끌어오기 요청을 자동으로 발생시켰습니다. 자세한 내용은 "Dependabot 보안 업데이트 정보"을(를) 참조하세요.
다음 단계
GitHub-recommended security configuration을(를) 사용하고 있으며 보안 사용 설정이 요구 사항을 충족하지 않는 것으로 확인되면 custom security configuration을(를) 만들어야 합니다. 시작하려면 "Creating a custom security configuration"을(를) 참조하세요.
custom security configuration을 사용 중이고 보안 활성화 설정이 요구 사항을 충족하지 못하는 것으로 확인된 경우 기존 구성을 편집할 수 있습니다. 자세한 내용은 "사용자 지정 보안 구성 편집"을(를) 참조하세요.
마지막으로 global settings을(를) 사용하여 조직 수준 보안 설정을 편집할 수도 있습니다. 자세히 알아보려면 "조직에 대한 글로벌 보안 설정 구성"을(를) 참조하세요.