조직의 보안 및 분석 설정 관리

GitHub에서 조직 프로젝트의 코드를 보호하고 분석하는 기능을 제어할 수 있습니다.

누가 이 기능을 사용할 수 있는 있나요?

Organization owners can manage security and analysis settings for repositories in the organization.

이 문서의 내용

보안 및 분석 설정 관리 정보

GitHub은(는) 조직의 리포지토리를 보호하는 데 도움이 될 수 있습니다. 구성원이 조직에서 만드는 모든 기존 또는 새 리포지토리에 대한 보안 및 분석 기능을 관리할 수 있습니다.

GitHub Advanced Security에 대한 라이선스를 가진 엔터프라이즈가 조직을 소유한 경우 보안 및 분석 설정을 관리하기 위한 추가 옵션을 사용할 수 있습니다. 자세한 내용은 "Managing GitHub Advanced Security features for your enterprise"을(를) 참조하세요.

조직의 리포지토리에 적용할 수 있는 보안 사용 설정 컬렉션인 GitHub-recommended security configuration을(를) 사용하여 대규모 보안 기능을 신속하게 사용하도록 설정할 수 있습니다. 그런 다음 global settings을(를) 사용하여 조직 수준에서 GitHub Advanced Security 기능을 추가로 사용자 지정할 수 있습니다. "보안 기능의 대규모 사용 정보"을(를) 참조하세요.

참고: Security configurations 및 global settings는 베타 버전이며 변경될 수 있습니다.

보안 및 분석 설정 표시

  1. GitHub의 오른쪽 위 모서리에서 프로필 사진을 선택하고 조직을 클릭합니다.

  2. 조직 옆에 있는 설정을 클릭합니다.

  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.

    Note

    If your organization is enrolled in the security configurations and global settings public beta, instead of "Code security and analysis", you will see a Code security dropdown menu. You can manage your repository-level security settings with security configurations, and your organization-level security settings with global settings. See "조직에서 GitHub 권장 보안 구성 적용" and "조직에 대한 글로벌 보안 설정 구성."

표시되는 페이지에서는 조직의 리포지토리에 대한 모든 보안 및 분석 기능을 사용하거나 사용하지 않도록 설정할 수 있습니다.

GitHub Advanced Security에 대한 라이선스가 있는 경우 페이지에는 Advanced Security 기능을 사용하거나 사용하지 않도록 설정하는 옵션도 포함됩니다. GitHub Advanced Security을(를) 사용하는 모든 리포지토리가 페이지 아래쪽에 나열됩니다.

모든 기존 리포지토리에 대한 기능 사용 또는 사용 안 함

모든 리포지토리에 대해 기능을 사용하거나 사용하지 않도록 설정할 수 있습니다.

보안 개요를 사용하여 리포지토리 집합을 찾고 모두에 대해 보안 기능을 동시에 사용 설정하거나 사용 중지할 수 있습니다. 자세한 정보는 "여러 리포지토리에 보안 기능 사용"을(를) 참조하세요.

참고: GitHub Advanced Security을(를) 사용하도록 설정하면 리포지토리에 대해 커밋한 사람은 GitHub Advanced Security 라이선스를 사용합니다. 라이선스 용량을 초과하면 이 옵션을 사용할 수 없습니다.

참고: "조직의 정책 설정으로 인해 GitHub 고급 보안을 사용 설정할 수 없습니다"라는 오류가 발생하는 경우, 엔터프라이즈 관리자에게 문의하여 엔터프라이즈에 대한 GitHub 고급 보안 정책을 변경하도록 요청합니다. 자세한 내용은 "Enforcing policies for code security and analysis for your enterprise"을(를) 참조하세요.

  1. 조직의 보안 및 분석 설정으로 이동합니다. 자세한 내용은 “보안 및 분석 설정 표시”를 참조하세요.

  2. “코드 보안 및 분석”에서 기능 오른쪽에 있는 모두 사용 중지 또는 모두 사용을 클릭해 확인 대화 상자를 표시합니다. GitHub Advanced Security에 대한 사용 가능한 라이선스가 없는 경우, "GitHub Advanced Security"에 대한 제어가 사용 중지됩니다.

  3. 대화 상자에 제공된 정보를 검토합니다.

  4. 필요에 따라 비공개 취약성 보고, 종속성 그래프 또는 Dependabot을(를) 사용 설정하려면, 새 리포지토리에 대해 기본적으로 사용 설정을 선택합니다.

    "새 비공개 리포지토리에 기본적으로 사용" 옵션이 진한 주황색 윤곽선으로 강조 표시되어 있는 "기능 사용 설정" 모달 대화 상자의 스크린샷.

  5. 변경할 준비가 되면 기능 사용 중지 또는 기능 사용을 클릭하여 조직의 모든 리포지토리에 대해 기능을 사용하거나 사용하지 않도록 설정합니다.

  6. 필요에 따라 보안 및 분석 설정의 기능 섹션에서 추가 사용 설정을 선택합니다. 추가 사용 설정에는 다음이 포함될 수 있습니다.

    • 특정 유형의 리포지토리에 대한 자동 사용 설정
    • 조직 전체에서 code scanning 기본 설정에 대한 확장 쿼리 모음을 권장하거나 secret scanning에 대한 자동 비밀 유효성 검사와 같은 기능별 설정

    참고:

    • 모든 리포지토리에 대해 CodeQL code scanning을(를) 사용하지 않도록 설정하면 이 변경 내용은 조직의 보안 개요에 표시된 적용 범위 정보에 반영되지 않습니다. 리포지토리는 "보안 검사" 보기에서 code scanning을(를) 사용하도록 설정된 것으로 표시됩니다.
    • 조직의 모든 적격 리포지토리에 대해 code scanning을(를) 사용 설정해도 기존 code scanning 구성이 재정의되지 않습니다. 특정 리포지토리에 대해 다른 설정을 사용하여 기본 설정을 구성하는 방법에 대한 자세한 내용은 "코드 스캔을 위한 기본 설정 구성" 및 "대규모 코드 스캔을 위한 기본 설정 구성"을(를) 참조하세요.

기존 리포지토리에 대해 하나 이상의 보안 및 분석 기능을 사용하도록 설정하면 몇 분 내로 GitHub에 결과가 표시됩니다.

  • 선택한 구성이 모든 기존 리포지토리에 제공됩니다.
  • 새 리포지토리에 대해 해당 확인란을 사용하도록 설정한 경우 새 리포지토리는 선택한 구성을 따릅니다.
  • 권한을 사용해 매니페스트 파일을 검색하여 관련 서비스를 적용합니다.
  • 사용하도록 설정하면 종속성 그래프에 종속성 정보가 표시됩니다.
  • 사용하도록 설정하면 GitHub에서 취약한 종속성 또는 맬웨어에 대한 Dependabot alerts를 생성합니다.
  • 사용하도록 설정하면 Dependabot 보안 업데이트는 Dependabot alerts가 트리거될 때 취약한 종속성을 업그레이드하기 위한 끌어오기 요청을 만듭니다.

새 리포지토리가 추가되면 자동으로 기능 사용 또는 사용 안 함

  1. 조직의 보안 및 분석 설정으로 이동합니다. 자세한 내용은 “보안 및 분석 설정 표시”를 참조하세요.
  2. “코드 보안 및 분석”에서 기능으로 간 다음, 조직에 있는 새 리포지토리에 대해 기본적으로 기능을 사용하거나 사용하지 않도록 설정합니다.

Dependabot에서 비공개 또는 내부 종속성에 액세스할 수 있도록 허용

Dependabot은(는) 프로젝트에서 오래된 종속성 참조를 검사하고 자동으로 끌어오기 요청을 생성하여 업데이트할 수 있습니다. 이렇게 하려면 Dependabot이(가) 모든 대상 종속성 파일에 액세스할 수 있어야 합니다. 일반적으로 하나 이상의 종속성에 액세스할 수 없는 경우 버전 업데이트가 실패합니다. 자세한 내용은 "Dependabot 버전 업데이트 정보"을(를) 참조하세요.

기본적으로 Dependabot에서는 비공개 또는 내부 리포지토리 또는 비공개 또는 내부 리포지토리 패키지 레지스트리에 있는 종속성을 업데이트할 수 없습니다. 그러나 종속성이 해당 종속성을 사용하는 프로젝트와 동일한 조직 내의 비공개 또는 내부 GitHub 리포지토리에 있는 경우 Dependabot에서 호스트 리포지토리에 대한 액세스 권한을 부여하여 버전을 성공적으로 업데이트하도록 허용할 수 있습니다.

코드가 비공개 또는 내부 레지스트리의 패키지에 종속된 경우 Dependabot에서 리포지토리 수준에서 이를 구성하여 이러한 종속성의 버전을 업데이트하도록 허용할 수 있습니다. 이 작업은 리포지토리의 dependabot.yml 파일에 인증 세부 정보를 추가하여 수행합니다. 자세한 내용은 "dependentabot.yml 파일 구성 옵션"을(를) 참조하세요.

Dependabot에서 비공개 또는 내부 GitHub 리포지토리에 액세스할 수 있도록 허용하려면 다음을 수행합니다.

  1. 조직의 보안 및 분석 설정으로 이동합니다. 자세한 내용은 “보안 및 분석 설정 표시”를 참조하세요.

  2. "Dependabot에서 비공개 리포지토리에 액세스하도록 권한 부여"에서 내부 및 비공개 리포지토리 추가를 클릭하여 리포지토리 검색 필드를 표시합니다.

    리포지토리를 검색하는 데 사용할 수 있는 드롭다운의 스크린샷. 입력할 때 이름이 검색 조건과 일치하는 리포지토리가 목록에 표시됩니다. 검색 텍스트 필드는 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. Dependabot 액세스 권한을 부여하려는 리포지토리의 이름을 입력하기 시작합니다.

  4. 조직에 있는 일치하는 리포지토리 목록이 표시되고 액세스를 허용하려는 리포지토리를 클릭하면 리포지토리가 허용 목록에 추가됩니다.

  5. 필요에 따라 목록에서 리포지토리를 제거하려면 리포지토리의 오른쪽에서 을(를) 클릭합니다.

조직의 개별 리포지토리에서 GitHub Advanced Security에 대한 액세스 제거

"설정" 탭에서 리포지토리에 대한 GitHub Advanced Security 기능에 대한 액세스를 관리할 수 있습니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리"을(를) 참조하세요. 그러나 조직의 “설정” 탭에서 리포지토리에 대한 GitHub Advanced Security 기능을 사용하지 않도록 설정할 수도 있습니다.

  1. 조직의 보안 및 분석 설정으로 이동합니다. 자세한 내용은 “보안 및 분석 설정 표시”를 참조하세요.
  2. GitHub Advanced Security을(를) 사용하도록 설정된 조직의 모든 리포지토리 목록을 보려면 “GitHub Advanced Security 리포지토리” 섹션으로 스크롤합니다.

표에는 각 리포지토리에 대한 고유 커밋자 수가 나열됩니다. 이는 GitHub Advanced Security에 대한 액세스를 제거하여 확보할 수 있는 라이선스입니다. 자세한 내용은 "GitHub Advanced Security 요금 청구 정보"을(를) 참조하세요.

  1. 리포지토리에서 GitHub Advanced Security에 대한 액세스를 제거하고 리포지토리에 고유한 커밋자가 사용할 라이선스를 확보하려면 옆에 있는 버튼을 클릭합니다.
  2. 확인 대화 상자에서 리포지토리 제거를 클릭하여 GitHub Advanced Security의 기능에 대한 액세스를 제거합니다.

참고: 리포지토리에 대한 GitHub Advanced Security에 대한 액세스를 제거하는 경우 변경이 의도되었음을 알 수 있도록 영향을 받는 개발 팀과 통신해야 합니다. 이렇게 하면 실패한 코드 검색 실행을 디버깅하는 데 시간을 낭비하지 않을 수 있습니다.

추가 참고 자료