보안 개요
보안 개요는 조직 또는 엔터프라이즈의 보안 환경에 대한 높은 수준의 요약을 제공하며 개입이 필요한 리포지토리를 쉽게 식별할 수 있도록 합니다. 보안 개요를 사용하여 특정 보안 기능을 사용하도록 설정한 리포지토리를 확인하고 현재 사용되지 않는 사용 가능한 보안 기능을 구성할 수도 있습니다.
참고: 보안 개요는 조직 리포지토리의 기본 분기에 대한 정보와 메트릭을 보여줍니다.
보안 개요는 리포지토리에 사용할 수 있는 보안 기능을 보여 줍니다. 리포지토리 및 경고 중심 보기가 포함되어 보안 문제를 신속하게 조사하고 수정할 수 있습니다.
- Dependabot 기능 및 경고에 대한 위험 및 적용 범위 정보가 모든 리포지토리에 대해 표시됩니다.
- code scanning, secret scanning 등 GitHub Advanced Security에 대한 위험 및 적용 범위 정보가 GitHub Advanced Security을(를) 사용하는 엔터프라이즈와 퍼블릭 리포지토리에 대해 표시됩니다.
- GitHub Advanced Security 및 퍼블릭 리포지토리를 사용하는 엔터프라이즈 소유 조직의 보안 기능 인사이트에 대한 조직 수준 대시보드가 표시됩니다.
자세한 내용은 "Dependabot 경고 정보" 및 "GitHub Advanced Security 정보"을(를) 참조하세요.
보안 개요의 위험 및 적용 범위 페이지에서 데이터를 포함하는 CSV(쉼표로 구분된 값) 파일을 다운로드할 수 있습니다. 이러한 파일은 보안 연구 및 심층 데이터 분석과 같은 작업에 사용할 수 있으며 외부 데이터 세트와 쉽게 통합할 수 있습니다. 자세한 내용은 "위험 및 적용 범위 페이지에서 데이터 내보내기"을 참조하세요.
보기는 대화형이며 집계된 데이터를 상세히 분석하고 위험 수준이 높거나 기능의 적용 범위가 낮은 원본을 식별할 수 있는 필터를 사용합니다. 여러 필터를 적용하여 더 좁은 관심 영역에 초점을 맞추면 보기 전체의 모든 데이터와 메트릭이 선택 사항을 반영하여 변경됩니다. 자세한 내용은 "보안 개요에서 경고 필터링"을(를) 참조하세요.
또한 분석을 특정 경고 집합으로 제한한 후 각 보기에 해당하는 특정 필터 범위로 결과를 더 좁히는데 사용할 수 있는 각 유형의 보안 경고에 대한 전용 보기가 있습니다. 예를 들어 secret scanning 경고 보기에서 "비밀 유형" 필터를 사용하여 GitHub personal access token와(과) 같은 특정 비밀에 대한 비밀 검사 경고만 볼 수 있습니다.
참고: 보안 개요는 보안 기능에서 발생하는 활성 경고를 표시합니다. 리포지토리의 보안 개요에 표시된 경고가 없는 경우 검색되지 않은 보안 취약성 또는 코드 오류가 여전히 존재하거나 해당 기능이 리포지토리에서 비활성화되었을 수 있습니다.
조직의 보안 개요
회사의 애플리케이션 보안 팀은 조직의 보안 상태에 대한 광범위하고 구체적인 분석에 서로 다른 보기를 사용할 수 있습니다. 예를 들어 팀은 "개요" 대시보드 보기(베타)를 사용하여 조직의 보안 환경 및 진행 상황을 추적하고. 또한 보안 개요를 사용하여 리포지토리 집합을 찾고 모두에 대해 동시에 보안 기능을 사용하거나 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 "여러 리포지토리에 보안 기능 사용"을(를) 참조하세요.
엔터프라이즈가 소유한 모든 조직의 보안 탭에서 보안 개요를 찾을 수 있습니다. 각 보기에는 액세스 권한이 있는 데이터의 요약이 표시됩니다. 필터를 추가하면 보기 전체의 모든 데이터와 메트릭이 변경되어 선택한 리포지토리 또는 경고가 반영됩니다. 사용 권한에 대한 자세한 내용은 "보안 개요에서 데이터를 볼 수 있는 권한"을 참조하세요.
보안 개요에는 다양한 방법으로 사용 및 경고 데이터를 탐색할 수 있는 여러 보기가 있습니다.
- "개요"를 사용하여 조직의 보안 환경 및 진행 상황에 대한 인사이트를 볼 수 있습니다.
- "적용 범위"를 사용하여 조직의 전체 리포지토리에 대한 코드 보안 기능 채택을 평가합니다.
- "위험"을 사용하여 조직의 리포지토리 1개 이상에 대한 모든 유형의 보안 경고로 인한 위험을 평가합니다.
- 개별 보안 경고 보기를 사용하여 취약한 특정 종속성, 코드 약점 또는 유출된 비밀로부터 위험을 식별합니다.
참고: 요약 보기("개요", "적용 범위", "위험")는 신뢰도가 높은 경고에 대해서만 데이터를 표시합니다. 타사 도구의 Code scanning 경고, 무시된 디렉터리에 대한 secret scanning 경고 및 비공급자 경고는 모두 이러한 보기에서 생략됩니다. 따라서 개별 경고 보기에는 더 많은 수의 열린 경고와 닫힌 경고가 포함될 수 있습니다.
관련 보기에 대한 자세한 내용은 "조직의 보안 인사이트 보기,""코드 보안 기능 채택 평가", "코드 보안 위험 평가"을(를) 참조하세요.
엔터프라이즈의 보안 개요
엔터프라이즈의 코드 보안 탭에서 보안 개요를 찾을 수 있습니다. 각 페이지에는 엔터프라이즈의 집계 및 리포지토리별 보안 정보가 표시됩니다.
조직의 보안 개요와 마찬가지로 엔터프라이즈의 보안 개요에는 다양한 방법으로 사용 및 경고 데이터를 탐색할 수 있는 여러 보기가 있습니다.
- "적용 범위" 보기를 사용하여 엔터프라이즈 조직 전체의 코드 보안 기능 채택을 평가합니다.
- "위험" 보기를 사용하여 엔터프라이즈 내 조직 전체에서 발생하는 모든 유형의 보안 경고를 통해 위험을 평가합니다.
- 개별 보안 경고 보기를 사용하여 취약한 특정 종속성, 코드 약점 또는 유출된 비밀로부터 위험을 식별합니다.
사용 권한에 대한 자세한 내용은 "보안 개요에서 데이터를 볼 수 있는 권한"을 참조하세요.
보안 개요에서 데이터를 볼 수 있는 권한
조직의 소유자 또는 보안 관리자는 모든 보기에서 조직의 모든 리포지토리에 대한 데이터를 볼 수 있습니다. 조직 수준 보안 개요에서 데이터를 보거나 엔터프라이즈 수준 보안 개요에서 소유자 또는 보안 관리자인 모든 조직의 데이터를 볼 수 있습니다.
엔터프라이즈 소유자가 조직 수준 또는 엔터프라이즈 수준 개요에서 조직의 리포지토리 관련 데이터를 보려면 조직 소유자로 조직에 가입해야 합니다. 자세한 내용은 "엔터프라이즈가 소유한 조직 내 역할 관리"을(를) 참조하세요.
조직 구성원은 조직의 보안 개요와 액세스 권한이 있는 리포지토리 관련 데이터를 볼 수 있습니다. 조직 수준 개요에서는 이 데이터를 볼 수 있지만 엔터프라이즈 수준 개요에는 액세스할 수 없습니다.
참고: 조직 구성원에게 일관되고 응답성이 뛰어난 환경을 보장하기 위해 조직 수준 보안 개요 페이지에는 가장 최근에 업데이트된 3,000개의 리포지토리의 결과만 표시됩니다. 결과가 제한되면 페이지 맨 위에 알림이 표시됩니다. 조직 소유자 및 보안 관리자는 모든 리포지토리의 결과를 볼 수 있습니다.
| 조직 구성원 | 개요 대시보드(베타) 보기 | 위험 및 경고 보기 | 적용 범위 보기 |
|---|---|---|---|
하나 이상의 리포지토리에 대한 admin 액세스 권한 보유 | 해당 리포지토리의 데이터 보기 | 해당 리포지토리의 데이터 보기 | 해당 리포지토리의 데이터 보기 |
하나 이상의 리포지토리에 대한 write 액세스 권한 보유 | 해당 리포지토리의 code scanning 및 Dependabot 데이터 보기 | 해당 리포지토리의 code scanning 및 Dependabot 데이터 보기 | 해당 리포지토리에 대한 액세스 권한 없음 |
| 하나 이상의 리포지토리에 대한 보안 경고 액세스 권한 보유 | 해당 리포지토리에 대한 모든 보안 경고 데이터 보기 | 해당 리포지토리에 대한 모든 보안 경고 데이터 보기 | 해당 리포지토리에 대한 액세스 권한 없음 |
| 하나 이상의 보안 경고 유형을 볼 수 있는 권한이 있는 사용자 지정 조직 역할 | 모든 리포지토리에 대해 허용되는 경고 데이터 보기 | 모든 보기에서 모든 리포지토리에 대해 허용되는 경고 데이터 보기 | 권한 없음 |
보안 경고 및 관련 보기 액세스 권한에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리", "사용자 지정 리포지토리 역할 정보"을 참조하세요.