Skip to main content

조직의 보안 및 분석 설정 관리

GitHub에서 조직 프로젝트의 코드를 보호하고 분석하는 기능을 제어할 수 있습니다.

누가 이 기능을 사용할 수 있는 있나요?

Organization owners can manage security and analysis settings for repositories in the organization.

보안 및 분석 설정 관리 정보

GitHub은(는) 조직의 리포지토리를 보호하는 데 도움이 될 수 있습니다. 구성원이 조직에서 만드는 모든 기존 또는 새 리포지토리에 대한 보안 및 분석 기능을 관리할 수 있습니다. GitHub Advanced Security에 대한 라이선스가 있는 GitHub Enterprise Cloud을(를) 사용하는 조직에서도 이러한 기능에 대한 액세스를 관리할 수 있습니다. 자세한 내용은 GitHub Enterprise Cloud 설명서를 참조하세요.

참고: 퍼블릭 리포지토리에 대해 기본적으로 사용된 일부 보안 및 분석 기능은 사용하지 않도록 설정할 수 없습니다.

보안 및 분석 기능을 사용하도록 설정하면 GitHub는 리포지토리에 대한 읽기 전용 분석을 수행합니다.

보안 및 분석 설정 표시

  1. GitHub.com의 오른쪽 위에서 프로필 사진을 선택한 다음 내 조직을 클릭합니다.

    @octocat 프로필 사진의 드롭다운 메뉴 스크린샷입니다. "조직"이 진한 주황색으로 표시됩니다.

  2. 조직 옆에 있는 설정을 클릭합니다.

  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을** 클릭합니다**.

표시되는 페이지에서는 조직의 리포지토리에 대한 모든 보안 및 분석 기능을 사용하거나 사용하지 않도록 설정할 수 있습니다.

모든 기존 리포지토리에 대한 기능 사용 또는 사용 안 함

모든 리포지토리에 대해 기능을 사용하거나 사용하지 않도록 설정할 수 있습니다. 변경 내용이 조직의 리포지토리에 미치는 영향은 표시 유형에 따라 결정됩니다.

  • 비공개 취약성 보고 - 변경 내용이 공용 리포지토리에만 영향을 줍니다.
  • 종속성 그래프 - 기능은 항상 퍼블릭 리포지토리에 대해 사용하도록 설정되므로 변경 내용은 프라이빗 리포지토리에만 영향을 줍니다.
  • Dependabot alerts - 변경 내용이 모든 리포지토리에 영향을 미칩니다.
  • Dependabot security updates - 변경 내용이 모든 리포지토리에 영향을 미칩니다.
  • Secret scanning - 변경 내용이 공용 리포지토리 및 해당 리포지토리가 종속되어 있을 수 있는 공용 npm 패키지에 영향을 줍니다. 이 옵션은 사용자에 대한 비밀 검사 경고 사용 설정 여부를 제어합니다. 은(는) 항상 모든 공용 리포지토리에서 실행됩니다.
  • Code scanning - 변경 내용은 퍼블릭 리포지토리에 영향을 줍니다. 적격 리포지토리에 대한 자세한 내용은 "대규모 코드 스캔을 위한 기본 설정 구성"을 참조하세요. 기본 설정에 적합하지 않은 리포지토리의 경우, 리포지토리 수준에서 고급 설정을 구성할 수 있습니다. 자세한 내용은 "코드 스캔을 위한 고급 설정 구성"을(를) 참조하세요.
  1. 조직의 보안 및 분석 설정으로 이동합니다. 자세한 내용은 “보안 및 분석 설정 표시”를 참조하세요.

  2. “코드 보안 및 분석”에서 기능 오른쪽에 있는 모두 사용 중지 또는 모두 사용을 클릭해 확인 대화 상자를 표시합니다.

  3. 대화 상자에 제공된 정보를 검토합니다.

  4. 필요에 따라 비공개 취약성 보고, 종속성 그래프 또는 Dependabot을(를) 사용 설정하려면, 새 비공개 리포지토리에 대해 기본적으로 사용 설정을 선택합니다.

    "새 비공개 리포지토리에 기본적으로 사용" 옵션이 진한 주황색 윤곽선으로 강조 표시되어 있는 "기능 사용 설정" 모달 대화 상자의 스크린샷.

  5. 변경할 준비가 되면 기능 사용 중지 또는 기능 사용을 클릭하여 조직의 모든 리포지토리에 대해 기능을 사용하거나 사용하지 않도록 설정합니다.

  6. 필요에 따라 보안 및 분석 설정의 기능 섹션에서 추가 사용 설정을 선택합니다. 추가 사용 설정에는 다음이 포함될 수 있습니다.

    • 특정 유형의 리포지토리에 대한 자동 사용 설정
    • 조직 전체에서 code scanning 기본 설정에 대한 확장 쿼리 모음을 권장하거나 secret scanning에 대한 자동 비밀 유효성 검사와 같은 기능별 설정

참고:

  • 모든 리포지토리에 대해 CodeQL code scanning을(를) 사용하지 않도록 설정하면 이 변경 내용은 조직의 보안 개요에 표시된 적용 범위 정보에 반영되지 않습니다. 리포지토리는 "보안 검사" 보기에서 code scanning을(를) 사용하도록 설정된 것으로 표시됩니다.
  • 조직의 모든 적격 리포지토리에 대해 code scanning을(를) 사용 설정해도 기존 code scanning 구성이 재정의되지 않습니다. 특정 리포지토리에 대해 다른 설정을 사용하여 기본 설정을 구성하는 방법에 대한 자세한 내용은 "코드 스캔을 위한 기본 설정 구성"을(를) 참조하세요.

기존 리포지토리에 대해 하나 이상의 보안 및 분석 기능을 사용하도록 설정하면 몇 분 내로 GitHub에 결과가 표시됩니다.

  • 선택한 구성이 모든 기존 리포지토리에 제공됩니다.
  • 새 리포지토리에 대해 해당 확인란을 사용하도록 설정한 경우 새 리포지토리는 선택한 구성을 따릅니다.
  • 권한을 사용해 매니페스트 파일을 검색하여 관련 서비스를 적용합니다.
  • 사용하도록 설정하면 종속성 그래프에 종속성 정보가 표시됩니다.
  • 사용하도록 설정하면 GitHub에서 취약한 종속성 또는 맬웨어에 대한 Dependabot alerts를 생성합니다.
  • 사용하도록 설정하면 Dependabot 보안 업데이트는 Dependabot alerts가 트리거될 때 취약한 종속성을 업그레이드하기 위한 끌어오기 요청을 만듭니다.

새 리포지토리가 추가되면 자동으로 기능 사용 또는 사용 안 함

  1. 조직의 보안 및 분석 설정으로 이동합니다. 자세한 내용은 “보안 및 분석 설정 표시”를 참조하세요.
  2. “코드 보안 및 분석”에서 기능으로 간 다음, 조직에 있는 새 리포지토리 또는 모든 새 비공개 리포지토리에 대해 기본적으로 기능을 사용하거나 사용하지 않도록 설정합니다.

Dependabot이(가) 프라이빗 종속성에 액세스할 수 있도록 허용

Dependabot은(는) 프로젝트에서 오래된 종속성 참조를 검사하고 자동으로 끌어오기 요청을 생성하여 업데이트할 수 있습니다. 이렇게 하려면 Dependabot이(가) 모든 대상 종속성 파일에 액세스할 수 있어야 합니다. 일반적으로 하나 이상의 종속성에 액세스할 수 없는 경우 버전 업데이트가 실패합니다. 자세한 내용은 "Dependabot 버전 업데이트 정보"을(를) 참조하세요.

기본적으로 Dependabot은(는) 프라이빗 리포지토리 또는 프라이빗 패키지 레지스트리에 있는 종속성을 업데이트할 수 없습니다. 그러나 종속성이 해당 종속성을 사용하는 프로젝트와 동일한 조직 내의 프라이빗 GitHub 리포지토리에 있는 경우 Dependabot에서 호스트 리포지토리에 대한 액세스 권한을 부여하여 버전을 성공적으로 업데이트하도록 허용할 수 있습니다.

코드가 프라이빗 레지스트리의 패키지에 종속된 경우 Dependabot에서 리포지토리 수준에서 이를 구성하여 이러한 종속성의 버전을 업데이트하도록 허용할 수 있습니다. 이 작업은 리포지토리의 dependabot.yml 파일에 인증 세부 정보를 추가하여 수행합니다. 자세한 내용은 "dependabot.yml 파일에 대한 구성 옵션"을(를) 참조하세요.

Dependabot이(가) 프라이빗 GitHub 리포지토리에 액세스할 수 있도록 허용하려면 다음을 수행합니다.

  1. 조직의 보안 및 분석 설정으로 이동합니다. 자세한 내용은 “보안 및 분석 설정 표시”를 참조하세요.

  2. "Dependabot이(가) 비공개 리포지토리에 액세스하도록 권한 부여"에서 비공개 리포지토리 추가 또는 내부 및 비공개 리포지토리 추가를 클릭하여 리포지토리 검색 필드를 표시합니다.

    리포지토리를 검색하는 데 사용할 수 있는 드롭다운의 스크린샷. 입력할 때 이름이 검색 조건과 일치하는 리포지토리가 목록에 표시됩니다. 검색 텍스트 필드는 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. Dependabot 액세스 권한을 부여하려는 리포지토리의 이름을 입력하기 시작합니다.

  4. 조직에 있는 일치하는 리포지토리 목록이 표시되고 액세스를 허용하려는 리포지토리를 클릭하면 리포지토리가 허용 목록에 추가됩니다.

  5. 필요에 따라 목록에서 리포지토리를 제거하려면 리포지토리의 오른쪽에서 을(를) 클릭합니다.

추가 참고 자료