경고 평가 정보
경고의 우선 순위를 효과적으로 지정하고 관리하기 위해 경고를 평가하는 데 도움이 되는 몇 가지 추가 기능이 있습니다. 마케팅 목록의 구성원을 관리할 수 있습니다.
- 비밀의 유효성을 검사하여 비밀이 여전히 활성 상태인지 확인합니다. 자세한 내용은 비밀의 유효성 확인을 참조하세요.
- 토큰의 메타데이터를 검토합니다. GitHub 토큰에만 적용됩니다. 예를 들어 토큰이 마지막으로 사용된 시점을 확인합니다. 자세한 내용은 GitHub 토큰 메타데이터 검토를 참조하세요.
비밀의 유효성 확인
유효성 검사는 비밀이 active인지 아니면 inactive인지를 알려 경고의 우선 순위를 지정하는 데 도움을 줍니다. active 비밀은 여전히 악용될 수 있으므로, 이러한 경고를 우선적으로 검토하고 수정해야 합니다.
기본적으로 GitHub은(는) GitHub 토큰의 유효성을 검사하고 경고 보기에 토큰의 유효성 검사 상태를 표시합니다.
GitHub Advanced Security 라이선스를 가지고 GitHub Team 또는 GitHub Enterprise Cloud를 사용하는 조직은 파트너 패턴에 대한 유효성 검사도 사용하도록 설정할 수 있습니다. 자세한 내용은 비밀의 유효성 확인을 참조하세요.
| 유효성 검사 | 상태 | 결과 |
|---|---|---|
| 활성 비밀 | active | GitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다. |
| 활성 비밀일 수 있음 | unknown | GitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다. |
| 활성 비밀일 수 있음 | unknown | GitHub은(는) 이 비밀을 확인할 수 없습니다. |
| 비활성 상태의 비밀 | inactive | 무단 액세스가 아직 발생하지 않았는지 확인해야 합니다. |
REST API를 사용하여 각 토큰에 대한 최신 유효성 검사 상태 목록을 검색할 수 있습니다. 자세한 내용은 REST API 설명서에서 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요. 또한 웹후크를 사용해 secret scanning 경고와 관련한 활동에 대한 알림을 받을 수도 있습니다. 자세한 내용은 웹후크 이벤트 및 페이로드의 secret_scanning_alert 이벤트를 참조하세요.
GitHub 토큰 메타데이터 검토
Note
GitHub 토큰의 메타데이터는 현재 베타 버전이며 변경될 수 있습니다.
활성 GitHub 토큰 경고에 대한 보기에서 토큰에 대한 특정 메타데이터를 검토할 수 있습니다. 이 메타데이터는 토큰을 식별하고 어떤 수정 단계를 수행할지 결정하는 데 도움이 될 수 있습니다.
personal access token 및 기타 자격 증명과 같은 토큰은 개인 정보로 간주됩니다. GitHub 토큰을 사용하는 방법에 대한 자세한 내용은 GitHub의 개인정보처리방침 및 허용 가능한 사용 정책을 참조하세요.
GitHub 토큰에 대한 메타데이터는 비밀 검사를 사용하도록 설정된 모든 리포지토리의 활성 토큰에 사용할 수 있습니다. 토큰이 해지되었거나 해당 상태를 확인할 수 없는 경우 메타데이터를 사용할 수 없습니다. GitHub이(가) 공용 리포지토리에서 GitHub 토큰을 자동으로 해지하므로 공용 리포지토리의 GitHub 토큰에 대한 메타데이터를 사용할 수 없습니다. 활성 GitHub 토큰에 다음 메타데이터를 사용할 수 있습니다:
| 메타데이터 | 설명 |
|---|---|
| 비밀 이름 | 작성자가 GitHub 토큰에 지정한 이름 |
| 비밀 소유자 | 토큰 소유자의 GitHub 핸들 |
| 만든 날짜 | 토큰이 생성된 날짜 |
| 만료된 날짜 | 토큰이 만료된 날짜 |
| 마지막으로 사용된 날짜 | 토큰이 마지막으로 사용된 날짜 |
| Access | 토큰에 조직 액세스 권한이 있는지 여부 |