secret risk assessment 대시보드는 조직에서 검색된 비밀에 대한 특정 시점 인사이트를 표시합니다. 이러한 보고서에 대한 자세한 내용은 비밀 위험 평가 정보을(를) 참조하세요.
Note
secret risk assessment 보고서는 현재 공개 미리 보기 버전이며 변경될 수 있습니다. 피드백이나 질문이 있는 경우 GitHub Community의 토론에 참여하세요. 여러분의 의견을 듣고 있습니다.
필수 조건
secret risk assessment 보고서를 생성하고 검색이 완료될 때까지 기다린 후 결과를 보고 내보낼 수 있어야 합니다. 조직의 비밀 위험 평가 보고서 보기 및 secret risk assessment를 CSV로 내보내기를 참고하세요.
해결을 위해 고위험 유출 우선순위 지정
비밀의 흔적과 비밀 유출에 대한 노출을 이해하려면 총 비밀,퍼블릭 유출, 비밀 위치 메트릭을 검토하세요.
다음으로 유출된 비밀이 보안에 가장 큰 위협이 되는 조직의 영역을 식별합니다.
- 여전히 활성 상태인 유출된 비밀은 일반적으로 보안에 가장 큰 위험을 초래합니다. 비활성 비밀보다 먼저 수정을 위해 활성 비밀의 우선순위를 지정합니다. 검색된 자격 증명의 유효성을 확인하는 방법에 대한 자세한 내용은 리포지토리에 대한 유효성 검사 사용을(를) 참조하세요.
- 마찬가지로 퍼블릭 리포지토리에서 유출된 비밀 은 일반적으로 프라이빗 또는 내부 리포지토리에서 유출된 비밀보다 위험과 우선순위가 높은 것으로 간주됩니다.
- 유출이 있는 리포지토리 메트릭은 조직 전체에서 비밀 유출의 빈도나 범위를 나타낼 수 있습니다. 비밀 유출이 있는 리포지토리의 상당수는 개발자 교육과 비밀에 대한 보안 인식 강화가 조직에 중요하다는 것을 시사할 수 있습니다.
노출 영역 식별
GitHub가 향후 비밀 유출을 방지하는 방법을 알아보는 것 외에도 예방 가능한 유출 및 비밀 범주 메트릭을 검토하여 현재 비밀 검색 범위를 이해합니다.
- GitHub Secret Protection 기능(예: secret scanning 및 푸시 보호)을 사용하여 방지할 수 있었던 비밀 유출은 예방 가능한 유출 메트릭에 의해 표시됩니다.
- 비밀 범주 메트릭 및 토큰 유형 테이블을 사용하여 조직 전체에서 유출된 비밀 형식의 패턴을 검색합니다.
- 공통 영역과 반복되는 유출된 비밀 발생은 결과에 기여하는 조직의 특정 CI/CD 워크플로나 개발 프로세스를 암시합니다.
- 또한 비밀 유출이 발생하기 쉬운 특정 팀, 리포지토리, 네트워크를 식별할 수 있으므로 추가 보안 조치나 관리가 필요합니다.
유출을 방지하기 위해 GitHub Secret Protection을 채택합니다.
조직의 비밀 유출 노출을 개선하고 비밀 검색 속도를 최적화하려면 GitHub Secret Protection 제품을 구매하는 것이 좋습니다. GitHub Secret Protection은 안전한 개발을 위한 가장 효과적인 경로인 지속적인 모니터링과 검색 솔루션입니다. GitHub Secret Protection 선택을(를) 참조하세요.