Skip to main content

비밀 검사에서 경고 관리

리포지토리에 체크 인된 비밀에 대한 경고를 보고 닫을 수 있습니다.

누가 이 기능을 사용할 수 있는 있나요?

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning is available for organization-owned repositories in GitHub Enterprise Server if your enterprise has a license for GitHub Advanced Security. For more information, see "About secret scanning" and "About GitHub Advanced Security."

비밀 검사 경고

관리

  1. GitHub Enterprise Server 인스턴스에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.

  4. "Secret scanning"에서 보려는 경고를 클릭합니다.

  5. 필요에 따라 유출된 비밀이 GitHub 토큰인 경우 비밀의 유효성을 검사하고 수정 단계를 따릅니다.

    참고: GitHub 토큰에 대한 유효성 검사가 현재 공개 베타 중이며 변경될 수 있습니다.

GitHub은(는) GitHub 토큰에 대해서만 비밀의 유효성에 대한 정보를 제공합니다.

| 유효성 검사 | 결과 | |-------------------------|--------------------------------------------------------------------------------| | 활성 비밀 | GitHub이(가) 비밀이 활성 상태인지 확인했습니다. | | 활성 비밀 | GitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다. | | 활성 비밀일 수 있음 | GitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다. | | 활성 비밀일 수 있음 | GitHub은(는) 이 비밀을 확인할 수 없습니다. | | 비밀이 비활성 상태로 표시됨 | 무단 액세스가 아직 발생하지 않았는지 확인해야 합니다. |

  1. 필요에 따라 유출된 비밀이 GitHub 토큰인 경우 토큰 메타데이터를 검토할 수 있습니다. 토큰 메타데이터 검토에 대한 자세한 내용은 "GitHub 토큰 메타데이터 검토"를 참조하세요.

  2. 경고를 해제하려면 "다음으로 닫기" 드롭다운 메뉴를 선택하고 경고 해결 이유를 클릭합니다.

    secret scanning 경고 스크린샷입니다. "다음으로 닫기"라는 드롭다운 메뉴가 진한 주황색 윤곽선으로 확장되고 강조 표시됩니다.

  3. 필요에 따라 "메모" 필드에 해제 주석을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. 경고 타임라인에서 해제된 모든 경고 및 해제 주석의 기록을 볼 수 있습니다. Secret scanning API를 사용하여 주석을 검색하거나 설정할 수도 있습니다. 설명은 resolution_comment 필드에 포함됩니다. 자세한 내용은 REST API 설명서의 “비밀 검사”을 참조하세요.

  4. [경고 닫기] 를 클릭합니다.

GitHub 토큰 메타데이터 검토

참고: GitHub 토큰의 메타데이터가 현재 공개 베타 중이며 변경될 수 있습니다.

활성 GitHub 토큰 경고에 대한 보기에서 토큰에 대한 특정 메타데이터를 검토할 수 있습니다. 이 메타데이터는 토큰을 식별하고 어떤 수정 단계를 수행할지 결정하는 데 도움이 될 수 있습니다. 개별 경고고 보기에 대한 자세한 내용은 “secret scanning의 경고 관리”를 참조하세요.

personal access token 및 기타 자격 증명과 같은 토큰은 개인 정보로 간주됩니다. GitHub 토큰을 사용하는 방법에 대한 자세한 내용은 GitHub의 개인정보처리방침허용 가능한 사용 정책을 참조하세요.

토큰 메타데이터를 보여 주는 GitHub 토큰의 UI 스크린샷입니다.

GitHub 토큰에 대한 메타데이터는 비밀 검사를 사용하도록 설정된 모든 리포지토리의 활성 토큰에 사용할 수 있습니다. 토큰이 해지되었거나 해당 상태를 확인할 수 없는 경우 메타데이터를 사용할 수 없습니다. GitHub이(가) 공용 리포지토리에서 GitHub 토큰을 자동으로 해지하므로 공용 리포지토리의 GitHub 토큰에 대한 메타데이터를 사용할 수 없습니다. 활성 GitHub 토큰에 다음 메타데이터를 사용할 수 있습니다:

메타데이터설명
비밀 이름작성자가 GitHub 토큰에 지정한 이름
비밀 소유자토큰 소유자의 GitHub 핸들
만든 날짜토큰이 생성된 날짜
만료된 날짜토큰이 만료된 날짜
마지막으로 사용된 날짜토큰이 마지막으로 사용된 날짜
Access토큰에 조직 액세스 권한이 있는지 여부

손상된 비밀 보안

비밀이 리포지토리에 커밋되면 보안이 손상된 것으로 간주해야 합니다. GitHub에서는 손상된 비밀에 대해 다음 작업을 권장합니다.

  • 손상된 GitHub personal access token에 대해 손상된 토큰을 삭제하고, 새 토큰을 만든 후 이전 토큰을 사용하는 모든 서비스를 업데이트합니다. 자세한 내용은 "개인용 액세스 토큰 관리"을(를) 참조하세요.
  • 다른 모든 비밀의 경우 먼저 GitHub Enterprise Server에 커밋된 비밀이 유효한지 확인합니다. 그렇다면 새 비밀을 만들고 이전 비밀을 사용하는 모든 서비스를 업데이트한 후 이전 비밀을 삭제합니다.

비밀 검사 경고에 대한 알림 구성

알림이 증분 검사 및 기록 검색에 대해 다릅니다.

증분 검색

새 비밀이 검색되면 GitHub Enterprise Server은 알림 기본 설정에 따라 리포지토리에 대한 보안 경고에 액세스할 수 있는 모든 사용자에게 알릴 수 있습니다. 사용자는 다음과 같습니다.

  • 리포지토리 관리자
  • 보안 관리자
  • 읽기/쓰기 권한이 있는 사용자 지정 역할의 사용자
  • 비밀이 유출된 리포지토리의 관리자인 경우 조직 소유자 및 엔터프라이즈 소유자

참고: 실수로 비밀을 커밋한 커밋 작성자는 알림 기본 설정에 관계없이 알림을 받습니다.

다음의 경우 이메일 알림을 받습니다.

  • 리포지토리를 보고 있습니다.
  • 리포지토리에서 "모든 활동" 또는 사용자 지정 "보안 경고"에 대한 알림을 사용하도록 설정했습니다.
  • 알림 설정에 있는 "구독"의 "시청 중"에서 이메일로 알림을 받도록 선택했습니다.
  1. GitHub Enterprise Server 인스턴스에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 시청을 시작하려면 Watch를 선택합니다.

    리포지토리의 기본 페이지 스크린샷입니다. "조사식"이라는 드롭다운 메뉴가 주황색 윤곽선으로 강조 표시됩니다.

  3. 드롭다운 메뉴에서 [모든 활동] 을 클릭합니다. 또는 보안 경고만 구독하려면 [사용자 지정] 을 클릭한 다음 [보안 경고] 를 클릭합니다.

  4. 개인 계정의 알림 설정으로 이동합니다. 이러한 항목은 사용할 수 있습니다https://github.com/settings/notifications.

  5. 알림 설정 페이지의 "구독"에서 "시청 중"에서 알림 드롭다운을 선택합니다.

  6. 알림 옵션으로 "전자 메일"을 선택한 다음 저장을 클릭합니다.

    사용자 계정에 대한 알림 설정의 스크린샷입니다. "구독"이라는 요소 헤더와 "시청 중"이라는 하위 헤더가 표시됩니다. "전자 메일"이라는 체크 상자가 주황색 윤곽선으로 강조 표시됩니다.

알림 기본 설정에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 보기 설정 구성"을 참조하세요.

기록 검색

기록 검색의 경우 GitHub Enterprise Server이(가) 다음 사용자에게 알립니다.

  • 조직 소유자, 엔터프라이즈 소유자 및 보안 관리자는 기록 검색이 완료될 때마다 비밀이 발견되지 않더라도 언제든지 사용할 수 있습니다.
  • 읽기/쓰기 액세스 권한이 있는 사용자 지정 역할의 리포지토리 관리자, 보안 관리자 및 사용자는 기록 검색에서 비밀을 검색할 때마다 알림 기본 설정에 따라 읽기/쓰기 권한을 가집니다.

커밋 작성자에게 알리지 않습니다.

알림 기본 설정에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 보기 설정 구성"을 참조하세요.

비밀 검색 경고에 대한 응답 감사

GitHub 도구를 사용하여 secret scanning 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "보안 경고 감사"을(를) 참조하세요.