비밀 위험 평가 결과 해석

소개

이 자습서에서는 비밀 위험 평가 결과를 해석하고 다음 방법을 알아봅니다.

secret risk assessment 보고서를 생성하고 검사가 완료될 때까지 기다려야 합니다. 조직에 대한 비밀 위험 평가 실행을(를) 참조하세요.

평가가 완료되면 대시보드 맨 위에 있는 주요 메트릭을 검토합니다.

        **총 비밀**: 조직 전체에서 발견된 총 비밀 누수 수

        **공개 누출**: **공용** 리포지토리에서 발견된 고유한 비밀

        **예방 가능한 누출**: 보호 조치로 인해 방지할 수 있었던 누출

또한 총 비밀에서 공개 누수 횟수를 빼 서 개인 리포지토리 에 있는 비밀 수를 확인할 수도 있습니다. 이러한 비밀을 즉시 수정하는 것은 덜 중요하지만, 누군가가 리포지토리에 무단으로 액세스하거나 리포지토리가 공개될 경우 여전히 위험을 초래합니다.

          **비밀 범주** 섹션을 확인하여 유출된 **비밀 유형을** 파악합니다.

* 공급자 패턴: 알려진 서비스에 대한 특정 비밀 형식(AWS, Azure, GitHub 토큰) * 일반 패턴: 프라이빗 키, API 키, 암호와 같은 일반 비밀 형식

공급자 패턴은 속한 서비스를 정확히 알고 있기 때문에 식별 및 해지하기 쉬운 경우가 많습니다. 일반 패턴에는 더 많은 조사가 필요할 수 있습니다.

          **누수 메트릭이 있는 리포지토리를** 확인합니다. 이 메트릭은 비밀 누수를 포함하는 리포지토리의 수를 보여 줍니다.

리포지토리의 높은 비율 에 누출이 포함된 경우 다음을 나타낼 수 있습니다.

비밀이 커밋되기 전에 비밀을 차단하는 푸시 보호와 같은 가드레일이 없습니다.

        **몇** 개의 리포지토리에 누수만 포함된 경우 다음을 수행할 수 있습니다.

아래쪽으로 스크롤하여 다음을 포함하는 자세한 비밀 형식 테이블을 확인합니다.

        **비밀 유형**: 특정 종류의 비밀

        **고유 리포지토리**: 이 형식을 포함하는 다양한 리포지토리 수

        **발견된 비밀**: 모든 리포지토리에서 이 비밀 유형의 총 수

테이블은 가장 큰 위험을 식별하는 데 도움이 되므로 자동으로 가장 높은 수를 기준으로 정렬됩니다.

          **동일한 유형의 많은 비밀**(예: 여러 AWS 키)이 표시되는 경우 다음을 나타냅니다.

이제 메트릭을 이해했으므로 위험에 따라 수정의 우선 순위를 지정합니다.

가장 높은 우선 순위 비밀은 다음과 같은 이유로 공용 리포지토리에서 유출된 공급자 패턴입니다.

다음으로 위험을 낮추거나 보다 광범위한 수정 노력이 필요한 비밀을 해결할 수 있습니다. 다음이 될 수 있습니다.

        **공용 리포지토리의 일반 패턴**으로, 해당 사용자가 속한 서비스 또는 시스템을 식별하기 위해 조사가 필요할 수 있습니다.

마지막으로 누출 수정 외에 추가적인 예방 노력이 필요할 수 있는 다음 지표를 찾습니다.

        **누출이 있는 많은 리포지토리**: 조직 전체 교육 및 향상된 보안 인식의 필요성을 나타냅니다.

        **반복되는 비밀 유형**: 특정 워크플로 또는 팀에 대상 지정 개입이 필요하도록 제안

        **일반적인 비밀 범주**: 보안 개선이 필요한 특정 CI/CD 프로세스를 가리킬 수 있습니다.

더 강력한 시크릿 보안 및 추가 인사이트를 위해 GitHub에서는 모든 리포지토리에 대해 GitHub Secret Protection을(를) 사용하도록 설정하는 것이 좋습니다. 가격 책정 및 GitHub Secret Protection 활성화을(를) 참조하세요.