비밀 검사 정보

GitHub는 실수로 리포지토리에 커밋된 비밀이 악용되지 않도록 방지하기 위해 알려진 유형의 비밀을 검사합니다.

누가 이 기능을 사용할 수 있나요?

Secret scanning은 다음 리포지토리 유형에 사용할 수 있습니다.

이 문서의 내용

secret scanning 정보

Secret scanning은(는) 리포지토리에 API 키, 암호, 토큰 등과 같은 중요한 비밀 정보가 실수로 포함되는 것을 감지하고 방지하는 데 도움이 되는 보안 기능입니다. 사용하도록 설정하면 secret scanning은(는) 리포지토리의 커밋에서 알려진 유형의 비밀을 검색하고 리포지토리 관리자에게 경고합니다.

GitHub 리포지토리가 보관된 경우에도 Secret scanning는 리포지토리의 모든 분기에 대한 전체 Git 기록을 검사하여 비밀을 탐지합니다. 또한 GitHub은 지원되는 새 비밀 유형이 추가되면 secret scanning이 활성화되는 GitHub Advanced Security이 활성화되는 리포지토리의 기존 콘텐츠에 있는 전체 Git 기록을 주기적으로 스캔합니다.

또한 secret scanning은 다음과 같은 작업을 수행합니다.

  • 문제의 설명 및 댓글
  • 열린 문제와 닫힌 과거 문제의 제목, 설명 및 댓글
  • 끌어오기 요청의 제목, 설명 및 댓글
  • GitHub Discussions의 제목, 설명 및 댓글
  • 비밀 gist입니다. 비밀 지스트에서 파트너 패턴이 감지되면 관련 파트너에게 알림이 전송됩니다.

지원되는 비밀이 유출되면 GitHub에서 secret scanning 경고가 생성됩니다. 경고는 GitHub의 리포지토리 보안 탭에서 보고되며, 여기서 경고를 확인하고 평가하여 해결할 수 있습니다. 자세한 내용은 비밀 검사 경고 관리을(를) 참조하세요.

secret scanning에서 지원하는 비밀 및 서비스 공급자에 대한 자세한 내용은 지원되는 비밀 검사 패턴을(를) 참조하세요.

REST API를 사용하면 리포지토리 또는 조직 전체에서 secret scanning 결과를 모니터링할 수 있습니다. API 엔드포인트에 대한 자세한 내용은 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요.

보안 개요를 사용하여 secret scanning이 활성화된 리포지토리와 발견된 경고에 대한 조직 수준의 보기를 확인할 수 있습니다. 자세한 내용은 보안 개요을(를) 참조하세요.

GitHub 도구를 사용하여 secret scanning 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 보안 경고 감사을(를) 참조하세요.

secret scanning 이 작동하는 원리

다음은 secret scanning의 작동 방식을 설명하는 일반적인 워크플로입니다.

  •         **검색**: Secret scanning은 리포지토리 콘텐츠 내의 API 키, 비밀번호, 토큰 등 민감한 정보를 자동으로 검색합니다. 알려진 비밀 유형과 일치하는 패턴 및 추론을 검색합니다.

  •         **경고**: 잠재적인 비밀이 검색되면 GitHub에서 경고를 생성하고 관련 리포지토리 관리자와 사용자에게 알릴 수 있습니다. 이 알림에는 해당 리포지토리의 위치와 같이 감지된 비밀 정보에 대한 세부 사항이 포함됩니다. 경고 유형 및 경고 세부 정보에 대한 자세한 내용은 [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/about-alerts)을(를) 참조하세요.

  •         **검토**: 비밀이 검색되면 제공된 경고 세부 정보를 검토해야 합니다.

  •         **수정:** 노출을 보정하기 위해서는 적절한 조치가 필요합니다. 영향을 받는 자격 증명을 회전하여 더 이상 사용할 수 없도록 하는 작업이 항상 포함됩니다.  또한 리포지토리 기록에서 비밀을 제거하는 작업이 포함될 수도 있습니다. (예: `git-filter-repo`와 같은 도구 사용, 자세한 내용은 [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/removing-sensitive-data-from-a-repository) 참조). 하지만 막대한 시간과 노력이 소요될 수 있으며, 자격 증명이 해지된 경우에는 일반적으로 불필요합니다.

  •         **모니터링**: 리포지토리를 정기적으로 감사하고 모니터링하여 추가적인 비밀 정보가 노출되지 않도록 관리하는 것이 권장됩니다.

secret scanning 혜택에 대해

  •         **향상된 보안**: Secret scanning은 리포지토리에서 API 키, 암호, 토큰 및 기타 비밀과 같은 민감한 정보를 검색합니다. 이러한 위험을 조기에 감지하면 악의적인 행위자가 악용하기 전에 잠재적인 보안 위협을 완화할 수 있습니다.

  •         **자동화된 검색**: 이 기능은 커밋, 이슈, 풀 리퀘스트를 포함한 코드베이스를 자동으로 검색하여, 별도의 수동 개입 없이도 지속적인 보호를 보장합니다. 이 자동화는 리포지토리가 발전함에 따라 보안을 유지하는 데 기여합니다.

  •         **실시간 경고**: 비밀 정보가 감지되면 secret scanning은 리포지토리 관리자와 기여자에게 실시간 경고를 전송합니다. 이 즉각적인 피드백을 통해 빠르게 수정 작업을 수행할 수 있습니다.

  •         **사용자 지정 패턴 지원**: 조직은 사용자 정의 패턴을 설정하여 기본 패턴으로는 식별하기 어려운 독점 정보나 고유한 유형의 비밀 정보를 검색할 수 있습니다. 이러한 유연성을 통해 사용자의 환경에 맞춘 맞춤형 보안 조치를 수행할 수 있습니다.

  •         **비 공급자 패턴 검색 기능**: 리포지토리 또는 조직에 대한 연결 문자열, 인증 헤더, 프라이빗 키 등과 같은 비 공급자 패턴을 포함하도록 검색 범위를 확장할 수 있습니다.

secret scanning 사용자 정의

secret scanning을 활성화하면 추가 사용자 지정 설정이 가능합니다.

공급자가 아닌 패턴 검색

프라이빗 키 및 공개 API 키와 같이 서비스 공급자와 공유하지 않는 비밀을 검색하고 식별합니다. 자세한 내용은 공급자가 아닌 패턴에 대해 비밀 스캔 사용을(를) 참조하세요.

유효성 검사 수행

유효성 검사는 해당 비밀이 active 인지 inactive 인지를 파악하여 경고의 우선순위를 지정하는 데 도움을 줍니다. 자세한 내용은 비밀 검사에서 경고 평가을(를) 참조하세요.

사용자 지정 패턴 정의

secret scanning에서 검색하고 감지할 수 있는 조직에서 사용하는 비밀에 대한 고유한 패턴을 정의합니다. 자세한 내용은 비밀 검사를 위한 사용자 지정 패턴 정의을(를) 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/secret-scanning/enabling-secret-scanning-features/enabling-secret-scanning-for-your-repository)

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-push-protection)

  •         [AUTOTITLE](/code-security/getting-started/best-practices-for-preventing-data-leaks-in-your-organization)

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/authentication/keeping-your-account-and-data-secure)