코드 보안 위험 평가

보안 개요를 사용하여 보안 경고의 영향을 받는 팀과 리포지토리를 확인하고 긴급 수정 작업이 필요한 리포지토리를 식별할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

액세스에는 다음이 필요합니다.

  • 조직 보기: 조직의 리포지토리에 대한 쓰기 액세스 권한
  • 엔터프라이즈 보기: 조직 소유자 및 보안 관리자

이 문서의 내용

코드에서 보안 위험 탐색

보안 탭에서 다양한 보기를 사용하여 코드의 보안 위험을 탐색할 수 있습니다.

  • 개요: 보안 경고 검색, 수정방지의 추세를 살펴보는 데 사용합니다.
  • 위험: 모든 경고 유형에서 리포지토리의 현재 상태를 탐색하는 데 사용합니다.
  • 경고 보기: code scanning, Dependabot, secret scanning 경고를 자세히 살펴보는 데 사용합니다.

이러한 보기는 다음과 같은 데이터 및 필터를 제공합니다.

  • 모든 리포지토리에서 코드 보안의 환경을 평가합니다.
  • 해결해야 할 가장 큰 영향 취약점을 파악합니다.
  • 잠재적 취약점을 수정하는 진행 상황을 모니터링합니다.
  • 추가 분석 및 보고를 위해 현재 선택한 데이터를 내보냅니다.

개요에 대한 자세한 내용은 보안 인사이트 보기을(를) 참조하세요.

조직 수준 코드 보안 위험 보기

  1. GitHub에서 조직의 기본 페이지로 이동합니다.

  2. 조직 이름에서 보안을 클릭합니다.

    조직의 가로 탐색 모음 스크린샷 방패 아이콘과 "보안"이라는 레이블이 지정된 탭이 진한 주황색 윤곽선으로 표시되어 있습니다.

  3. "보안 위험" 보기를 표시하려면 사이드바에서 위험을 클릭합니다.

  4. 페이지 요약의 옵션을 사용하여 결과를 필터링하여 평가하려는 리포지토리를 표시합니다. 페이지에 표시되는 리포지토리 및 메트릭 목록이 현재 선택 항목과 일치하도록 자동으로 업데이트됩니다. 필터링에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을 참조하세요.

    • Teams 드롭다운을 사용하여 하나 이상의 팀이 소유한 리포지토리에 대한 정보만 표시합니다.
    • 열려 있는 경고가 있거나 해당 유형의 열린 경고가 없는 리포지토리만 표시하려면 헤더에서 영향을 받는 번호 또는 영향을 받지 않는 숫자를 클릭합니다.
    • 헤더에서 "경고 열기"에 대한 설명을 클릭하여 해당 유형 및 범주의 경고가 있는 리포지토리만 표시합니다. 예를 들어 Dependabot에 대한 중요한 경고가 있는 리포지토리를 표시하는 것은 중요한 1개입니다.
    • 리포지토리 목록의 맨 위에서 보관된 번호를 클릭하여 보관된 리포지토리만 표시합니다.
    • 검색 상자를 클릭하여 표시된 리포지토리에 필터를 더 추가합니다.

    조직의 "보안 위험" 보기 스크린샷 필터링 옵션은 진한 주황색 윤곽선으로 표시되어 있습니다.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. 필요에 따라 왼쪽의 사이드바를 사용하여 특정 보안 기능에 대한 경고를 더 자세히 살펴볼 수 있습니다. 각 페이지에서 해당 기능과 관련된 필터를 사용하여 검색을 구체화할 수 있습니다. 사용 가능한 한정자에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을(를) 참조하세요.

  6. 필요에 따라 CSV 내보내기 단추를 사용하여 보안 연구 및 심층 데이터 분석을 위해 현재 페이지에 표시된 데이터의 CSV 파일을 다운로드합니다. 자세한 내용은 보안 개요에서 데이터 내보내기을(를) 참조하세요.

Note

요약 보기("개요", "적용 범위" 및 "위험")는 기본 경고에 대한 데이터만 표시합니다. Secret scanning 경고는 모두 이러한 보기에서 생략됩니다. 따라서 개별 경고 보기에는 더 많은 수의 열린 경고와 닫힌 경고가 포함될 수 있습니다.

엔터프라이즈 수준 코드 보안 위험 보기

엔터프라이즈의 전체 조직에 대한 보안 경고 데이터를 볼 수 있습니다.

Tip

검색 필드의 owner 필터를 사용하여 조직별로 데이터를 필터링할 수 있습니다. 관리형 사용자가 있는 엔터프라이즈의 소유자인 경우 조직 소유의 리포지토리 또는 사용자 소유 리포지토리에서 데이터를 볼 수 있도록 owner-type 필터를 사용하여 리포지토리 소유자 유형별로 데이터를 필터링할 수 있습니다. 자세한 내용은 "보안 개요에서 경고 필터링"을 참조하세요.

  1. GitHub Enterprise Cloud으로 탐색합니다.

  2. GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음 엔터프라이즈를 클릭합니다.

  3. 엔터프라이즈 목록에서 보려는 엔터프라이즈를 클릭합니다. 1. 페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 코드 보안을 클릭합니다.

  4. "보안 위험" 보기를 표시하려면 사이드바에서 위험을 클릭합니다.

  5. 페이지 요약의 옵션을 사용하여 결과를 필터링하여 평가하려는 리포지토리를 표시합니다. 페이지에 표시되는 리포지토리 및 메트릭 목록이 현재 선택 항목과 일치하도록 자동으로 업데이트됩니다. 필터링에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을 참조하세요.

    • Teams 드롭다운을 사용하여 하나 이상의 팀이 소유한 리포지토리에 대한 정보만 표시합니다.
    • 열려 있는 경고가 있거나 해당 유형의 열린 경고가 없는 리포지토리만 표시하려면 헤더에서 영향을 받는 번호 또는 영향을 받지 않는 숫자를 클릭합니다.
    • 헤더에서 "경고 열기"에 대한 설명을 클릭하여 해당 유형 및 범주의 경고가 있는 리포지토리만 표시합니다. 예를 들어 Dependabot에 대한 중요한 경고가 있는 리포지토리를 표시하는 것은 중요한 1개입니다.
    • 리포지토리 목록의 맨 위에서 보관된 번호를 클릭하여 보관된 리포지토리만 표시합니다.
    • 검색 상자를 클릭하여 표시된 리포지토리에 필터를 더 추가합니다.

    엔터프라이즈에 대한 "보안 위험" 보기의 스크린샷 필터링 옵션은 진한 주황색 윤곽선으로 표시되어 있습니다.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  6. 필요에 따라 왼쪽의 사이드바를 사용하여 특정 보안 기능에 대한 경고를 더 자세히 살펴볼 수 있습니다. 각 페이지에서 해당 기능과 관련된 필터를 사용하여 검색을 구체화할 수 있습니다. 사용 가능한 한정자에 대한 자세한 내용은 "보안 개요에서 경고 필터링"을(를) 참조하세요.

  7. 필요에 따라 CSV 내보내기 단추를 사용하여 보안 연구 및 심층 데이터 분석을 위해 현재 페이지에 표시된 데이터의 CSV 파일을 다운로드합니다. 자세한 내용은 보안 개요에서 데이터 내보내기을(를) 참조하세요.

Note

요약 보기("개요", "적용 범위" 및 "위험")는 기본 경고에 대한 데이터만 표시합니다. Secret scanning 경고는 모두 이러한 보기에서 생략됩니다. 따라서 개별 경고 보기에는 더 많은 수의 열린 경고와 닫힌 경고가 포함될 수 있습니다.

다음 단계

코드 보안 위험을 평가했다면 개발자와 공동 작업하여 경고를 수정하는 보안 캠페인을 만들 준비가 된 것입니다. 대규모 보안 경고를 수정하는 방법에 대한 자세한 내용은 보안 캠페인 만들기 및 추적대규모 보안 경고 수정 모범 사례을(를) 참조하세요.