리포지토리의 보안 및 설정 평가

보안 연구원은 공용 리포지토리 보안 설정을 평가하고, 보안 정책을 제안하고, 취약성을 보고할 수 있습니다.

누가 이 기능을 사용할 수 있는 있나요?

Anyone can view a public repository's security settings, and contact the repository maintainers regarding security issues.

이 문서의 내용

리포지토리의 보안 설정 평가 정보

퍼블릭 리포지토리 보안 설정을 평가하면 보안 연구원이 리포지토리의 보안 태세를 이해하는 데 도움이 될 수 있습니다. 이 정보는 리포지토리의 취약성을 보고하는 등 리포지토리 유지 관리자 가사용할지 여부를 결정하는 데 도움이 될 수 있습니다.

리포지토리가 공용인 경우 리포지토리의 보안 설정에 대한 높은 수준의 정보를 누구나 사용할 수 있습니다. 예를 들어 리포지토리에 보안 정책이 있는지와 프라이빗 취약성 보고가 사용하도록 설정되었는지를 확인할 수 있습니다. 리포지토리에 대한 게시된 보안 공지 및 닫힌 보안 공지를 볼 수도 있습니다. 리포지토리와 연결된 보안 정책이 없는 경우 하나를 제안할 수 있습니다. 리포지토리에 비공개 취약성 보고가 사용하도록 설정된 경우 보안 취약성을 리포지토리 유지 관리자에게 비공개로 직접 보고할 수 있습니다.

리포지토리에 대한 관리자 권한이 있고 리포지토리를 조직에서 소유하는 경우 보안 개요를 통해 리포지토리의 보안 설정에 대한 자세한 정보를 볼 수 있습니다. 보안 개요에 대한 자세한 내용은 GitHub Enterprise Cloud 설명서의 "보안 개요."

리포지토리가 개인용인 경우 리포지토리에 대한 관리자 권한이 있거나 리포지토리를 포함하는 특수 보안 권한이 부여된 경우에만 보안 설정을 볼 수 있습니다(예: 조직 전체 보안 관리자).

대규모로 리포지토리의 보안 태세를 평가하려는 경우 API를 사용하여 비공개 약점 보고와 같은 일부 보안 설정이 리포지토리에 사용되는지 확인할 수 있습니다. 자세한 내용은 "리포지토리에 대한 REST API 엔드포인트"을(를) 참조하세요.

리포지토리에 대한 보안 정책 제안

퍼블릭 리포지토리 대한 관리자 또는 보안 권한이 없는 경우 아직 없는 경우 이미 존재하지 않는 사항이라면 리포지토리 유지 관리자에 대한 보안 정책을 제안할 수 있습니다. 그러면 리포지토리 유지 관리자는 제안을 수락하거나 거부할 수 있습니다. 리포지토리 유지 관리자가 제안을 수락하면 보안 정책이 리포지토리와 연결됩니다.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.
  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.
  3. 리포지토리에 보안 정책이 있으면 해당 정책이 표시됩니다. 리포지토리와 연결된 보안 정책이 없는 경우 정책 제안을 클릭합니다.
  4. SECURITY.md 파일은 리포지토리의 기본 분기에서 만들어집니다. 파일에는 보안 정책에 대한 템플릿이 포함됩니다. 파일을 편집하여 제안하고 싶은 보안 정책을 추가할 수 있습니다.
  5. 완료했으면 변경 내용 커밋을 클릭합니다.
  6. 커밋 변경 내용 대화를 작성합니다.
    • "커밋 메시지"에서 커밋 메시지를 입력합니다.
    • 필요에 따라 "확장 설명"에서 변경 내용을 설명합니다.
    • "이 커밋에 대한 새 분기를 만들고 끌어오기 요청을 시작합니다"를 선택합니다
    • 변경 내용 커밋을 클릭합니다.
  7. [끌어오기 요청 만들기를 클릭합니다.
  8. 필요에 따라 주석을 남겨 둡니다.
  9. [끌어오기 요청 만들기를 클릭합니다.

리포지토리의 취약성 보고

퍼블릭 리포지토리 대한 관리자 또는 보안 권한이 없는 경우 프라이빗 취약성 보고를 사용하도록 설정하면 리포지토리 유지 관리자에 대한 보안 취약성을 비공개로 보고할 수 있습니다. 그러면 리포지토리 유지 관리자는 보고서를 수락하거나 거부할 수 있습니다. 리포지토리 유지 관리자 보고서를 수락하면 리포지토리에 대한 보안 공지가 생성됩니다.

참고: 리포지토리에 프라이빗 취약성 보고를 사용하도록 설정하지 않은 경우 리포지토리에 대한 보안 정책의 지침에 따라 보고 프로세스를 시작하거나 유지 관리자에게 기본 설정 보안 연락처를 요청하는 이슈를 만들어야 합니다. 자세한 내용은 "보안 취약성의 조정된 공개 정보"을(를) 참조하세요.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 취약성 보고를 클릭하여 권고 양식을 엽니다.

  4. 권고 세부 정보 양식을 작성합니다.

    팁: 이 양식에서는 제목과 설명만 필수입니다. (리포지토리 유지 관리자가 시작하는 일반 초안 보안 권고 양식에서는 에코시스템도 지정해야 합니다.) 그러나 보안 연구원은 양식에 가능한 한 많은 정보를 제공하여 유지 관리자 제출된 보고서에 대해 정보에 입각한 결정을 내릴 수 있도록 하는 것이 좋습니다. github/securitylab리포지토리에서 사용할 수 있는 GitHub Security Lab에서 보안 연구원이 사용하는 템플릿을 채택할 수 있습니다.

    사용 가능한 필드 및 양식 작성에 대한 지침에 대한 자세한 내용은 "리포지토리 보안 공지 만들기" 및 "리포지토리 보안 공지 작성 모범 사례"을(를) 참조하세요.

  5. 양식 아래쪽에서 보고서 제출을 클릭합니다. GitHub은(는) 유지 관리자에게 알림을 받았으며 이 보안 권고에 대해 보류 중인 크레딧이 있음을 알리는 메시지를 표시합니다.

    팁: 보고서가 제출되면 GitHub은(는) 취약성의 보고자를 공동 작업자로, 그리고 제안된 권고에 대해 크레딧을 받은 사용자로 자동으로 추가합니다.

  6. 필요에 따라 이슈 해결을 시작하려면 임시 프라이빗 포크 시작을 클릭합니다. 리포지토리 유지 관리자는 해당 프라이빗 포크의 변경 내용을 부모 리포지토리로 병합할 수 있습니다.

    보안 권고 아래쪽의 스크린샷 "임시 포크 시작"이라는 레이블이 지정된 단추가 진한 주황색 윤곽선으로 표시됩니다.