코드 보안 캠페인 참여 모범 사례

code scanning 경고의 보안 캠페인에 성공적으로 참여하는 방법과 이 캠페인이 커리어와 코드에 어떻게 도움이 되는지 알아보세요.

누가 이 기능을 사용할 수 있나요?

쓰기 권한이 있는 사용자

Organizations on GitHub Team or GitHub Enterprise Cloud with GitHub Secret Protection or GitHub Code Security enabled

이 문서의 내용

코드 보안 캠페인이란?

보안 캠페인은 조직 소유자 또는 보안 관리자가 수정을 위해 선택한 리포지토리의 기본 분기에서 감지되는 code scanning 경고 그룹입니다.

캠페인에 포함된 경고 중 하나 이상을 수정함으로써 보안 캠페인에 참여할 수 있습니다.

캠페인에 참여하면 얻을 수 있는 이점

조직의 코드베이스에서 중요한 보안 문제를 제거하는 이점 외에도, 보안 캠페인의 알림은 저장소에서 다른 알림을 수정하는 것과 비교했을 때 여러 가지 추가적인 이점이 있습니다.

  • 보안 팀과 협업할 캠페인 관리자가 있으며, 캠페인 활동을 논의할 수 있는 특정 연락처 링크가 제공됩니다.
  • 회사에 중요한 보안 경고를 수정하고 있다는 사실을 알 수 있습니다.
  • 잠재적으로, 대상 교육 자료에 접근할 수 있습니다.
  • GitHub Copilot Autofix 제안을 요청할 필요가 없으며, 이미 시작점으로 제공됩니다.
  • GitHub Copilot 채팅에 접근할 수 있는 경우, 해당 경고와 제안된 수정 사항에 대해 질문할 수 있습니다.
  • 보안 코딩에 대한 지식을 향상시키고 이를 입증하고 있습니다.

몇 가지 핵심 모범 사례를 채택하면 캠페인에 성공적으로 참여하는 데 도움이 됩니다.

최신 소식 수신

알림 설정

쓰기 권한이 있는 모든 리포지토리의 보안 캠페인에 대한 메일 업데이트를 자동으로 받게 되므로, 관련 업데이트를 지속적으로 확인할 수 있습니다.

또한 누군가가 code scanning 또는 secret scanning 경고를 귀하에게 할당하면 알림을 받게 됩니다. 경고 할당을 참조하세요.

캠페인 세부 정보 보기

하나 이상의 캠페인 경고가 있는 리포지토리에서 보안 탭을 열면, 보기 사이드바에서 캠페인 이름을 확인할 수 있습니다. 캠페인 이름을 클릭하면 캠페인에 포함된 알림 목록과 캠페인 진행 상황에 대한 요약 정보를 확인할 수 있습니다.

캠페인에서 생성된 GitHub Issues

일부 캠페인은 각 저장소에 대해 GitHub Issues를 자동으로 생성하며, 여기에는 캠페인 관리자, 연락처 URL, 마감일 등의 정보가 포함됩니다.

이 이슈를 사용하여 평소의 작업 흐름의 일부로 캠페인 작업을 계획하고 추적할 수 있습니다. 예를 들어:

  • 프로젝트 보드에 문제 추가
  • 담당자 추가
  • 하위 문제 또는 작업 목록 만들기

컨텍스트 검색

보안 팀은 캠페인에 참여하기 전에 특정 교육을 제공할 수 있으며, 이를 통해 캠페인에 포함된 알림을 처리할 준비를 갖출 수 있습니다.

공식 교육 프로그램이 없는 경우, 캠페인 관리자에게 다음에 대한 정보를 공유해 달라고 요청할 수 있습니다.

  • 캠페인에 포함된 보안 취약성 유형
  • 해결 방법의 예
  • 테스트하는 수정하는 방법.

또한, 일반적인 보안 문제를 이해하기 위한 외부 자료들도 있습니다.

  • OWASP 재단은 가장 일반적인 취약점에 대해 학습할 수 있는 다양한 자료를 제공하며, 자세한 내용은 OWASP 재단 소개를 참조하세요.
  • MITRE Corporation은 일반적인 약점에 대한 자세한 목록을 유지 관리합니다. CWE 정보를 참조하세요.

유사한 경고 그룹화

보안 경고를 캠페인의 일환으로 수정할 때는, 유사한 경고를 묶어서 함께 해결하는 것이 도움이 될 수 있습니다. 이렇게 하면 근본적인 문제를 더 깊이 이해할 수 있습니다. 특정 유형의 경고를 해결하는 데 자신감과 효율성을 갖추게 되면, 이후 발생하는 경고를 더 쉽고 빠르게 해결할 수 있습니다.

Copilot를 활용하세요.

코파일럿 자동 수정

코파일럿 자동 수정는 캠페인에 포함된 경고에 대해 자동으로 실행되므로, 가능한 경우 수정 사항이 자동으로 생성됩니다. 제안된 수정을 커밋하여 경고를 해결한 후, 코드베이스에 대한 지속적 통합 테스트(CI)가 여전히 통과하는지 확인할 수 있습니다. 보안 캠페인에서 경고 수정을(를) 참조하세요.

저장소에서 Copilot 코딩 에이전트가 활성화되어 있으면, 경고를 Copilot에 할당할 수도 있습니다. 보안 캠페인에서 경고 수정을(를) 참조하세요.

여러 경고를 할당하면 Copilot 코딩 에이전트에서 수정 사항을 적용하고 코드를 반복하여 변경 내용의 유효성을 검사하고, 새 보안 문제를 확인하고, 병합 충돌이 없는지 확인합니다.

부조종사 채팅

부조종사 채팅에게 취약점, 제안된 수정 사항, 그리고 수정이 충분히 적용되었는지 테스트하는 방법에 대해 도움을 요청할 수 있습니다. 부조종사 채팅에 액세스하려면 https://github.com/copilot로 이동하세요.

또는 특정 경고를 볼 때, 페이지 오른쪽 상단에 있는 부조종사 채팅 아이콘()을 클릭하여 채팅 창을 열고, 경고와 관련된 질문을 Copilot에게 할 수 있습니다.

다음은 그 예입니다.

Text

Explain how this alert introduces a vulnerability into the code.

조직 또는 엔터프라이즈를 통해 아직 부조종사 채팅에 접근할 수 없는 경우, GitHub 코필로트 무료에 가입할 수 있습니다. 자세한 내용은 GitHub Copilot 플랜 시작을(를) 참조하세요.

질문하기

보안 캠페인에는 일반적으로 연락처 URL이 포함되며, 이를 통해 캠페인 관리자, 공개 포럼(예: GitHub Discussion), 또는 관련 자료가 있는 웹사이트로 연결될 수 있습니다. 이 공간을 활용하여 캠페인이나 특정 경고에 대한 질문을 하고, 유용한 자료를 찾으며, 지식을 공유할 수 있습니다.

연락처 URL을 찾으려면 다음을 수행합니다.

  1. 저장소의 보안 탭을 여세요.
  2. 왼쪽 사이드바에서 참여 중인 캠페인의 이름을 클릭합니다.
  3. 캠페인 추적 페이지에서 캠페인 관리자 이름 오른쪽에 있는 를 클릭합니다.

다음 단계

  •         [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/fixing-alerts-in-security-campaign)