API 키 및 암호와 같은 자격 증명이 리포지토리에 커밋되면 권한 없는 액세스의 대상이 됩니다. Secret scanning은(는) 비밀 누출을 자동으로 탐지하여, 악용되기 전에 이를 예방할 수 있습니다.
시크릿 스캐닝이 코드를 보호하는 방법
Secret scanning은(는) 리포지토리의 모든 분기에서 전체 Git 기록을 검사하여 API 키, 암호, 토큰 및 기타 알려진 비밀 유형을 검색합니다. GitHub 또한 새 비밀 형식이 추가되면 정기적으로 리포지토리를 다시 검사합니다.
GitHub도 자동으로 검색합니다.
- 문제의 설명 및 댓글
- 열림 및 닫힘 히스토리컬 문제에서 제목, 설명 및 주석
- 끌어오기 요청의 제목, 설명 및 댓글
- GitHub Discussions의 제목, 설명 및 댓글
- 비밀 요점
Secret scanning 경고 및 수정
secret scanning에서 잠재적인 비밀을 찾으면 GitHub에서 노출된 자격 증명에 대한 세부 정보가 포함된 리포지토리의 보안 탭에 경고를 생성합니다.
경고를 검토하고 영향을 받는 자격 증명을 즉시 회전하여 더 이상 사용할 수 없도록 합니다. Git 기록에서 비밀을 제거할 수도 있지만, 이미 자격 증명을 해지한 경우 시간이 많이 소요되고 불필요한 경우가 많습니다.
커스터마이즈 가능성
파트너 및 공급자 비밀의 기본 검색 외에도 요구 사항에 맞게 secret scanning를 확장하고 사용자 지정할 수 있습니다.
-
**비공급자 패턴.** 프라이빗 키, 연결 문자열 및 일반 API 키와 같이 특정 서비스 공급자에 연결되지 않은 비밀로 검색을 확장합니다. -
**사용자 지정 패턴.** 사용자 고유의 정규식을 정의하여 기본 패턴에서 다루지 않는 조직별 비밀을 검색합니다. -
**유효성 검사.** 검색된 비밀이 여전히 활성 상태인지 확인하여 수정의 우선 순위를 지정합니다.
이 기능에 액세스하려면 어떻게 해야 하나요?
Secret scanning은 다음 리포지토리 유형에 사용할 수 있습니다.
-
**공용 리포지토리**: Secret scanning은(는) 자동으로 무료로 실행됩니다. -
**조직 소유 개인 및 내부 리포지토리**: [GitHub Advanced Security](/get-started/learning-about-github/about-github-advanced-security)을 사용하면 GitHub Team 또는 GitHub Enterprise Cloud에서 활성화된 경우 이용할 수 있습니다. -
**사용자 소유 리포지토리**: GitHub Enterprise Cloud에서 Enterprise Managed Users를 사용할 수 있습니다. 엔터프라이즈에 GitHub Advanced Security 기능이 활성화된 경우 [GitHub Enterprise Server](/get-started/learning-about-github/about-github-advanced-security)에서 사용할 수 있습니다.
다음 단계:
-
**경고를 받은 경우**[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) 을 참조하여 노출된 비밀을 검토, 해결 및 수정하는 방법을 알아봅니다.
추가 읽기
- 지원되는 비밀 및 서비스 공급자의 전체 목록은 지원되는 비밀 검사 패턴을 참조하세요.