코드 보안 캠페인 참여

보안 캠페인의 일부로 경고가 할당된 경우 이 가이드에서는 캠페인이 무엇인지, 무엇을 기대해야 하는지, 경고를 효과적으로 해결하는 방법을 설명합니다.

누가 이 기능을 사용할 수 있나요?

쓰기 권한이 있는 사용자

Organizations on GitHub Team or GitHub Enterprise Cloud with GitHub Secret Protection or GitHub Code Security enabled

이 기사에서

코드 보안 캠페인이란?

코드 보안 캠페인은 하나 이상의 리포지토리에서 발견된 code scanning 경고 그룹을 해결하기 위해 집중적으로 진행하는 활동입니다.

캠페인은 조직 소유자 또는 보안 관리자에 의해 생성되며 일반적으로 리포지토리의 기본 분기에서 검색된 경고를 대상으로 합니다. 캠페인에 참여하는 경우 이러한 경고 중 일부를 해결하는 데 도움을 달라는 요청을 받았습니다.

캠페인 참여의 이점은 무엇인가요?

조직의 코드베이스에서 위험을 줄이는 것 외에도 보안 캠페인의 경고는 리포지토리의 다른 경고를 수정하는 것에 비해 몇 가지 다른 이점이 있습니다.

  • 보안 팀과 협업할 캠페인 관리자가 있으며, 캠페인 활동을 논의할 수 있는 특정 연락처 링크가 제공됩니다.
  • 회사에 중요한 보안 경고를 수정하고 있다는 사실을 알 수 있습니다.
  • 잠재적으로, 대상 교육 자료에 접근할 수 있습니다.
  • GitHub Copilot Autofix 제안을 요청할 필요가 없으며, 이미 시작점으로 제공됩니다.
  • GitHub Copilot 채팅에 접근할 수 있는 경우, 해당 경고와 제안된 수정 사항에 대해 질문할 수 있습니다.
  • 보안 코딩에 대한 지식을 향상시키고 이를 입증하고 있습니다.

캠페인에 참여하면 보안 코딩 기술을 강화하면서 조직의 코드베이스에서 위험을 줄일 수 있습니다.

1. 캠페인에 대해 알아보기

먼저 캠페인 업데이트 및 마감일을 검토하여 작업을 효과적으로 계획할 수 있습니다.

알림 설정

          **쓰기** 권한이 있는 모든 리포지토리의 보안 캠페인에 대한 메일 업데이트를 자동으로 받게 되므로, 관련 업데이트를 지속적으로 확인할 수 있습니다.

또한 누군가가 code scanning 또는 secret scanning 경고를 귀하에게 할당하면 알림을 받게 됩니다. 경고 할당을 참조하세요.

캠페인 세부 정보 보기

하나 이상의 캠페인 경고가 있는 리포지토리에서 보안 탭을 열면, 보기 사이드바에서 캠페인 이름을 확인할 수 있습니다. 캠페인 이름을 클릭하면 캠페인에 포함된 알림 목록과 캠페인 진행 상황에 대한 요약 정보를 확인할 수 있습니다.

캠페인에서 생성된 GitHub Issues

특정 캠페인의 경우, 각 저장소마다 GitHub Issues가 자동으로 생성되며, 캠페인 관리자, 연락처 URL, 마감일과 같은 세부 정보를 담고 있습니다.

이 문제를 사용하여 작업을 조정하고, 진행 상황을 추적하고, 관련자를 정렬된 상태로 유지합니다. 예를 들어 이 문제를 사용하여 다음을 수행할 수 있습니다.

  • 프로젝트 보드에 문제 추가
  • 담당자 추가
  • 하위 문제 또는 작업 목록 만들기

2. 수정 사항을 적용하기 전에 컨텍스트 빌드

보안 팀은 캠페인에 참여하기 전에 특정 교육을 제공할 수 있으며, 이를 통해 캠페인에 포함된 알림을 처리할 준비를 갖출 수 있습니다.

공식 교육 프로그램이 없는 경우, 캠페인 관리자에게 다음에 대한 정보를 공유해 달라고 요청할 수 있습니다.

  • 캠페인에 포함된 보안 취약성 유형
  • 해결 방법의 예
  • 테스트하는 수정하는 방법.

또한, 일반적인 보안 문제를 이해하기 위한 외부 자료들도 있습니다.

  •         **OWASP 재단**은 가장 일반적인 취약점에 대해 학습할 수 있는 다양한 자료를 제공하며, 자세한 내용은 [OWASP 재단 소개](https://owasp.org/about/)를 참조하세요.

  •         **MITRE Corporation**은 일반적인 약점에 대한 자세한 목록을 유지 관리합니다. [CWE 정보](https://cwe.mitre.org/about/index.html)를 참조하세요.

3. 초기에 자주 공동 작업

보안 캠페인에는 일반적으로 연락처 URL이 포함되며, 이를 통해 캠페인 관리자, 공개 포럼(예: GitHub Discussion), 또는 관련 자료가 있는 웹사이트로 연결될 수 있습니다. 이 공간을 활용하여 캠페인이나 특정 경고에 대한 질문을 하고, 유용한 자료를 찾으며, 지식을 공유할 수 있습니다.

연락처 URL을 찾으려면 다음을 수행합니다.

  1. 저장소의 보안 탭을 여세요.
  2. 왼쪽 사이드바에서 참여 중인 캠페인의 이름을 클릭합니다.
  3. 캠페인 추적 페이지에서 캠페인 관리자 이름 오른쪽에 있는 를 클릭합니다.

4. 전략적으로 경고 그룹화

비슷한 경고를 함께 해결하여 모멘텀을 구축하고, 컨텍스트 전환을 줄이고, 기본 문제에 대한 심층적인 이해를 개발합니다. 특정 유형의 경고를 해결하는 데 자신감과 효율성을 갖추게 되면, 이후 발생하는 경고를 더 쉽고 빠르게 해결할 수 있습니다.

5. Copilot의 도움으로 경고 해결

Copilot를 이용하면 보안 캠페인의 경고를 효과적으로 해결할 수 있습니다. 리포지토리에서 활성화된 기능에 따라 Copilot 자동 수정 제안과 Copilot 채팅에 접근할 수 있습니다.

Copilot 자동 수정는 캠페인에 포함된 경고에 대해 자동으로 실행되므로, 가능한 경우 수정 사항이 자동으로 생성됩니다. 제안된 수정을 커밋하여 경고를 해결한 후, 코드베이스에 대한 지속적 통합 테스트(CI)가 여전히 통과하는지 확인할 수 있습니다. 보안 캠페인에서 경고 수정을(를) 참조하세요.

저장소에서 Copilot 코딩 도우미가 활성화되어 있으면, 경고를 Copilot에 할당할 수도 있습니다. 보안 캠페인에서 경고 수정을(를) 참조하세요.

여러 경고를 할당하면 Copilot 코딩 도우미에서 수정 사항을 적용하고 코드를 반복하여 변경 내용의 유효성을 검사하고, 새 보안 문제를 확인하고, 병합 충돌이 없는지 확인합니다.

Copilot 채팅

Copilot 채팅에게 취약점, 제안된 수정 사항, 그리고 수정이 충분히 적용되었는지 테스트하는 방법에 대해 도움을 요청할 수 있습니다. Copilot 채팅에 접근하려면 https://github.com/copilot로 이동하십시오.

또는 특정 경고를 볼 때, 페이지 오른쪽 상단에 있는 Copilot 채팅 아이콘()을 클릭하여 채팅 창을 열고, 경고와 관련된 질문을 Copilot에게 할 수 있습니다.

다음은 그 예입니다.

Text

Explain how this alert introduces a vulnerability into the code.

조직 또는 엔터프라이즈를 통해 아직 Copilot 채팅에 접근할 수 없는 경우, 무료 GitHub Copilot에 가입할 수 있습니다. GitHub Copilot 플랜 시작하기을(를) 참조하세요.

다음 단계

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)