코드 보안 기능 채택 평가

이 문서의 내용

보안 개요를 사용하여 코드 보안 기능을 이미 사용하는 팀과 리포지토리를 확인하고 아직 보호되지 않은 항목을 식별할 수 있습니다.

이 기능을 사용할 수 있는 사람

조직의 모든 구성원이 조직의 보안 개요를 사용할 수 있습니다. 표시되는 보기 및 데이터는 조직의 역할 및 조직 내의 개별 리포지토리에 대한 사용 권한에 따라 결정됩니다. 자세한 내용은 "보안 개요"을 참조하세요.

엔터프라이즈의 보안 개요는 액세스 권한이 있는 조직의 조직 소유자 및 보안 관리자 데이터를 보여 줍니다. 엔터프라이즈 소유자는 조직 소유자 또는 보안 관리자로 추가된 조직의 데이터만 볼 수 있습니다. 자세한 내용은 "엔터프라이즈가 소유한 조직 내 역할 관리"을 참조하세요.

모든 엔터프라이즈와 엔터프라이즈의 조직에는 보안 개요가 있습니다. GitHub Advanced Security을(를) 사용하는 경우 추가 정보가 표시됩니다. 자세한 내용은 "GitHub Advanced Security 정보.

코드 보안 기능 채택

보안 개요를 사용하여 각 코드 보안 기능을 이미 사용하는 리포지토리 및 팀과 해당 기능을 채택하도록 격려해야 하는 부분을 확인할 수 있습니다. "보안 적용 범위" 보기에는 조직의 기능 사용에 대한 요약 및 상세 정보가 표시됩니다. "사용" 및 "사용 안 함" 링크, "Teams" 드롭다운 메뉴, 페이지 머리글의 검색 필드를 사용하여 리포지토리의 하위 집합을 표시하도록 보기를 필터링할 수 있습니다.

조직의 "보안" 탭에 있는 "보안 적용 범위" 보기의 헤더 섹션 스크린샷 필터링 옵션은 "사용" 및 "사용 안 함" 링크, "Teams" 선택기, 검색 필드를 포함하여 진한 주황색으로 강조 표시됩니다.

"보안 적용 범위" 페이지에 표시된 데이터의 CSV 파일을 다운로드할 수 있습니다. 이 데이터 파일은 보안 연구 및 심층 데이터 분석과 같은 작업에 사용할 수 있으며 외부 데이터 세트와 쉽게 통합할 수 있습니다. 자세한 내용은 "위험 및 적용 범위 페이지에서 데이터 내보내기"을(를) 참조하세요.

조직의 코드 보안 기능 사용 보기

보안 개요에 표시되는 정보는 리포지토리 및 조직에 대한 액세스 권한에 따라 다르며, GitHub Advanced Security이(가) 해당 리포지토리 및 조직에서 사용되는지 여부에 따라 달라집니다. 자세한 내용은 "보안 개요"을(를) 참조하세요.

리포지토리 목록에서 "Dependabot"의 "일시 중지됨" 레이블은 Dependabot updates이(가) 일시 중지된 리포지토리를 나타냅니다. 비활성 조건에 대한 자세한 내용은 "Dependabot 보안 업데이트 정보", 보안 및 버전 업데이트에 대한 자세한 내용은 "Dependabot 버전 업데이트 정보"을 각각 참조하세요.

  1. GitHub.com에서 조직의 기본 페이지로 이동합니다.

  2. 조직 이름 아래에서 보안을** 클릭합니다**.

    조직의 가로 탐색 모음 스크린샷 방패 아이콘과 "보안"이라는 레이블이 지정된 탭은 진한 주황색으로 표시됩니다.

  3. "보안 적용 범위" 보기를 표시하려면 사이드바에서 적용 범위를 클릭합니다.

  4. 페이지 요약의 옵션을 사용하여 결과를 필터링하여 평가하려는 리포지토리를 표시합니다. 페이지에 표시되는 리포지토리 및 메트릭 목록이 현재 선택 항목과 일치하도록 자동으로 업데이트됩니다. 필터링에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을 참조하세요.

    • Teams 드롭다운을 사용하여 하나 이상의 팀이 소유한 리포지토리에 대한 정보만 표시합니다. 자세한 내용은 "조직 리포지토리에 대한 팀 액세스 관리"을 참조하세요.
    • 해당 기능이 활성화되었거나 활성화되지 않은 리포지토리만 표시하려면 머리글에서 숫자 사용 혹은 숫자 사용 안 함을 클릭하세요/
    • 리포지토리 목록의 맨 위에서 보관된 번호를 클릭하여 보관된 리포지토리만 표시합니다.
    • 검색 상자를 클릭하여 표시된 리포지토리에 필터를 더 추가합니다.

    조직의 "보안" 탭에 있는 "보안 적용 범위" 보기의 헤더 섹션 스크린샷 필터링 옵션은 "사용" 및 "사용 안 함" 링크, "Teams" 선택기, 보관된 리포지토리, 검색 필드를 포함하여 진한 주황색으로 강조 표시됩니다.

  5. 필요에 따라 보안 설정을 클릭하여 리포지토리에서 코드 보안 기능을 사용하도록 설정하고 보안 설정 저장을 클릭하여 변경 내용을 확인합니다. 기능이 표시되지 않으면 더 복잡한 구성 요구 사항이 있으며 리포지토리 설정 대화 상자를 사용해야 합니다. 자세한 내용은 "리포지토리 보안 유지"을(를) 참조하세요.

  6. 필요에 따라 현재 검색과 일치하는 리포지토리의 일부 또는 전체를 선택하고 테이블 헤더에서 보안 설정을 클릭하면 선택한 리포지토리에서 보안 기능을 사용하도록 설정할 수 있는 측면 패널이 표시됩니다. 완료되면 변경 내용 적용을 클릭하여 변경 내용을 확인합니다. 자세한 내용은 "여러 리포지토리에 보안 기능 사용"을(를) 참조하세요.

참고:

  • 참고: 보안 개요를 사용하여 조직의 여러 리포지토리에 대해 code scanning을(를) 사용하도록 설정하면 선택한 리포지토리에 대한 기존 code scanning 구성이 모두 재정의됩니다. 여기에는 이전 쿼리 도구 모음 선택 항목 및 고급 설정에 대한 워크플로가 포함됩니다.
  • secret scanning에 대해 "경고"를 사용하도록 설정하면 신뢰도가 높은 경고를 사용할 수 있습니다. 비공급자 경고를 사용하려면 리포지토리, 조직 또는 엔터프라이즈 설정을 편집해야 합니다. 경고 유형에 대한 자세한 내용은 "지원되는 비밀"을 참조하세요.

엔터프라이즈의 코드 보안 기능 사용 보기

데이터를 보고 엔터프라이즈의 조직 전체에서 코드 보안 기능의 사용을 평가할 수 있습니다. 보안 개요에 표시되는 정보는 리포지토리 및 조직에 대한 액세스 권한에 따라 다르며, GitHub Advanced Security이(가) 해당 리포지토리 및 조직에서 사용되는지 여부에 따라 달라집니다. 자세한 내용은 "보안 개요"을(를) 참조하세요.

엔터프라이즈 수준 보기에서는 기능 사용에 대한 데이터를 볼 수 있지만 기능을 활성화 또는 비활성화할 수 없습니다. 기능 사용에 대한 자세한 내용은 "여러 리포지토리에 보안 기능 사용"을 참조하세요.

팁: 검색 필드의 org: 필터를 사용하여 조직별로 데이터를 필터링할 수 있습니다. 자세한 내용은 "보안 개요에서 경고 필터링"을(를) 참조하세요.

  1. GitHub.com으로 이동합니다.

  2. GitHub.com의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음 Your enterprises(내 엔터프라이즈)를 클릭합니다.

  3. 엔터프라이즈 목록에서 보려는 엔터프라이즈를 클릭합니다.

  4. 왼쪽 사이드바에서 코드 보안을 클릭합니다.

  5. "보안 적용 범위" 보기를 표시하려면 사이드바에서 적용 범위를 클릭합니다.

  6. 페이지 요약의 옵션을 사용하여 결과를 필터링하여 평가하려는 리포지토리를 표시합니다. 페이지에 표시되는 리포지토리 및 메트릭 목록이 현재 선택 항목과 일치하도록 자동으로 업데이트됩니다. 필터링에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을 참조하세요.

    • Teams 드롭다운을 사용하여 하나 이상의 팀이 소유한 리포지토리에 대한 정보만 표시합니다. 자세한 내용은 "조직 리포지토리에 대한 팀 액세스 관리"을 참조하세요.
    • 해당 기능이 활성화되었거나 활성화되지 않은 리포지토리만 표시하려면 머리글에서 숫자 사용 혹은 숫자 사용 안 함을 클릭하세요/
    • 리포지토리 목록의 맨 위에서 보관된 번호를 클릭하여 보관된 리포지토리만 표시합니다.
    • 검색 상자를 클릭하여 표시된 리포지토리에 필터를 더 추가합니다.

    엔터프라이즈의 "보안 적용 범위" 보기의 헤더 섹션 스크린샷 필터링 옵션은 "사용" 및 "사용 안 함" 링크, "Teams" 선택기, 보관된 리포지토리, 검색 필드를 포함하여 진한 주황색으로 강조 표시됩니다.

사용 데이터 해석 및 작업

일부 코드 보안 기능은 모든 리포지토리에서 사용할 수 있고 사용하도록 설정해야 합니다. 비밀 검사 경고와 푸시 보호를 예로 들 수 있습니다. 이 기능은 리포지토리에 저장된 정보와 관계없이 보안 유출의 위험을 줄여줍니다. 이 기능을 아직 사용하지 않는 리포지토리가 표시되는 경우 해당 리포지토리에서 사용하도록 설정하거나 리포지토리를 소유한 팀과 사용 계획을 논의해야 합니다. 조직 전체에서 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "조직의 보안 및 분석 설정 관리"을 참조하세요.

다른 기능은 사용할 수 없는 리포지토리도 있습니다. 예를 들어 지원되지 않는 에코시스템 또는 언어만 사용하는 리포지토리에서 Dependabot 또는 code scanning을(를) 사용하도록 설정하는 것은 아무 소용이 없습니다. 따라서 일부 리포지토리에서 이러한 기능을 사용하도록 설정하지 않은 것은 정상입니다.

기업에서 일부 코드 보안 기능의 사용을 제한하도록 정책을 구성했을 수도 있습니다. 자세한 내용은 "엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용"을(를) 참조하세요.