사용자는 엔터프라이즈 소유자로서 엔터프라이즈 내 강력한 보안 태세를 유지하고, 규정을 준수하며, 위험을 완화하고, 지적 재산권을 보호해야 할 책임이 있습니다. GitHub에는 이러한 작업을 지원하는 다양한 도구가 제공됩니다.
GitHub에 회사의 코드를 저장하면 한 장소에서 손쉽게 공동 작업, 추적, 배포가 가능합니다. 사용자가 리포지토리에서 원활하게 작업할 수 있도록 지원하는 것은 문화와 생산성 측면에서 중요한 일이지만, 코드의 보안과 안정성을 유지하기 위해서는 사용자의 작업에 몇 가지 제어 항목을 구현할 필요가 있습니다.
GitHub Enterprise를 사용하면 GitHub의 전체 거버넌스 기능에 액세스할 수 있으며, 이를 통해 사용자는 다음을 수행할 수 있습니다.
- 사용자의 코드 업데이트 방법 제어
- 사용자의 리포지토리 사용법 관리
- 작업 모니터링
- 유출된 비밀 검색
- 중요한 작업에 대한 승인 프로세스 설정
- 코드에서 취약성 또는 오류 감지
사용자의 분기 보호
프로덕션 코드가 포함된 분기 등 엔터프라이즈 리포지토리에 중요한 분기의 경우, 규정 준수 프레임워크를 통해 오류 및 악성 코드가 프로덕션 환경에 유입되는 위험을 줄여야 합니다.
**규칙 집합**을 사용하면 사용자가 특정 분기와 상호 작용하는 방법을 관리하는 규칙을 적용할 수 있습니다. 또한 특정 사용자에게 이러한 규칙을 명시적으로 우회할 수 있는 권한을 부여할 수 있어 유연성을 제공하면서도 의도한 제한 사항을 명확히 할 수 있습니다.
많은 엔터프라이즈에서 다음과 같은 규칙을 추가합니다.
-
**삭제를 제한**하여 사용자가 실수로 분기를 삭제하지 못하도록 합니다. -
모든 변경 사항에는 **풀 요청**을 요구하여 기록을 남기고 검토를 시행합니다. -
풀 요청을 병합하기 전에 **상태 확인 및 성공적인 배포**를 요구하여 프로덕션에서 발생할 오류를 방지합니다.
서명된 커밋 또는 선형 커밋 기록을 요구하는 등 기타 규칙들은 상황에 맞춰 결정되고, 규정 준수 요구 사항에 따라 달라집니다.
자세한 내용은 규칙 세트에 대한 정보을 참조합니다.
리포지토리 사용량 관리
리포지토리는 회사의 코드와 데이터가 저장되는 위치이므로 데이터 유출 위험을 줄이기 위해 사용자가 리포지토리와 상호작용하는 방법을 정의하는 것이 중요합니다. 엔터프라이즈 설정에서 다음과 같은 정책을 설정할 수 있습니다.
- 리포지토리의 기본 표시 제한
- 비회원이 리포지토리에 초대되는 일을 방지
- 리포지토리가 조직 외부에서 포크(fork)되거나 전송되는 것을 방지
사용자의 정책은 보안 요구 사항을 유지하는 동시에 협력을 촉진하고 개발자들의 마찰을 줄이는 것을 목표로 해야 합니다. 예를 들어 엔터프라이즈의 모든 공용 리포지토리에 대한 "open source" 조직을 만들고 공용 리포지토리가 다른 조직에서 만들어지는 것을 방지할 수 있습니다.
을 참조하세요. 정책을 설정하는 방법은 엔터프라이즈에서 리포지토리 관리 정책 적용을 참조하세요.
메타데이터를 사용하여 정책 대상 지정
자동화된 정책 적용을 통해 더 나은 거버넌스를 사용하도록 설정할 수 있습니다. 사용자 지정 속성을 사용하면 리소스에 구조화된 메타데이터를 추가할 수 있습니다.
**리포지토리 사용자 지정 속성을** 사용하면 위험 수준, 팀 소유권 또는 규정 준수 요구 사항과 같은 특성별로 리포지토리를 분류할 수 있습니다. 이 메타데이터를 사용하면 리포지토리 특성에 따라 다른 거버넌스 규칙을 자동으로 적용할 수 있습니다.
**조직 사용자 지정 속성을** 사용하면 데이터 민감도, 규정 프레임워크 또는 사업부별로 기업 내 조직을 분류할 수 있습니다. 그런 다음 이러한 속성을 사용하여 엔터프라이즈 규칙 집합을 사용하여 조직을 선택적으로 대상으로 지정할 수 있습니다.
두 가지 유형의 사용자 지정 속성은 모두 규칙 집합과 통합되므로 수동 리포지토리 선택 대신 메타데이터에 따라 올바른 정책을 자동으로 적용하는 강력한 거버넌스 프레임워크를 만들 수 있습니다.
[AUTOTITLE](/organizations/managing-organization-settings/managing-custom-properties-for-repositories-in-your-organization)를 참조하세요.
작업 모니터링
문제가 발생하면 엔터프라이즈의 작업에서 문제의 원인 및 범위를 조사하는 것이 중요합니다.
GitHub의 감사 로그에는 엔터프라이즈 계정, 조직, 그리고 Enterprise Managed Users를 사용 시 관리하는 사용자에 대한 자세한 이벤트가 포함되어 있습니다. 청구 활동과 같은 주제에 대한 감사 로그를 필터링하거나, 손상된 토큰과 관련된 이벤트를 검색할 수 있습니다.
감사 로그에 접근하기 위해서는 엔터프라이즈의 감사 로그에 액세스을 참조하세요.
GitHub는 감사 로그 데이터를 무기한으로 보존하지 않습니다. 필요한 기간 만큼 데이터를 보관하고 외부 도구를 사용하여 데이터를 쿼리할 수 있도록 감사 로그를 외부 위치로 스트리밍할 것을 권장합니다. 엔터프라이즈에 대한 감사 로그 스트리밍을(를) 참조하세요.
중요한 정보가 코드베이스에 도달하는 것을 방지
지적 재산권을 보호하고 보안 사고를 예방하기 위해 코드베이스에 중요한 정보가 포함되지 않도록 관리하는 시스템을 구현하는 것이 중요합니다.
Secret scanning
**secret scanning** 를 이용해 코드에서 API 키, 암호 및 기타 자격 증명과 같은 중요한 정보를 스캔함으로써 무단 액세스 및 잠재적 위반을 방지할 수 있습니다. Secret scanning은 코드베이스에서 민감한 정보를 감지하여 암호 변경 또는 토큰 교체 등 적절한 대응을 취할 것을 경고합니다.
자세한 내용은 비밀 검사 정보을(를) 참조하세요.
엔터프라이즈, 조직, 리포지토리 수준에서 Secret scanning을 활성화할 수 있습니다. 엔터프라이즈 수준에서 활성화에 대한 정보는 어플라이언스에 대한 비밀 검사 구성를 참조하세요.
푸시 보호
또한, 푸시 보호를 사용하여 민감한 데이터 및 자격 증명이 실수로 리포지토리에 푸시되는 것을 방지할 수 있습니다.
푸시 보호는 실시간으로 시크릿 정보를 검색하고 잠재적으로 중요한 정보가 포함된 푸시를 차단하여 보호 역할을 합니다. 조직 소유자는 조직 수준에서 푸시 보호 정책을 구성하여 모든 리포지토리에 일관된 보안 표준을 적용할 수 있습니다. 푸시가 차단되면 개발자는 코드에서 비밀을 제거하는 등 문제를 해결하는 방법에 대한 자세한 지침을 수신합니다.
[AUTOTITLE](/code-security/secret-scanning/introduction/about-push-protection)을(를) 참조하세요.
푸시 보호는 조직, 리포지토리, 사용자 계정 수준에서 활성화할 수 있습니다. 리포지토리에 푸시 보호 활성화을(를) 참조하세요.
내부 보안 정책에 따라 시크릿 정보 검색을 조정하고 리포지토리에서 민감 정보가 무단으로 노출되는 일을 방지하기 위해 엔터프라이즈 또는 조직 수준에서 푸시 보호에 포함되는 비밀 패턴을 사용자가 지정할 수 있습니다. enterprise에 대한 추가 비밀 검사 설정 구성 및 조직에 대한 글로벌 보안 설정 구성을(를) 참조하세요.
민감한 작업에 대한 승인 절차 설정
엔터프라이즈에서 민감한 작업을 수행할 사용자를 효과적으로 제어할 수 있도록 승인 절차를 설정할 수 있습니다. 승인 절차는 무단 또는 악의적인 변경 위험을 완화하는 데 유용하며, 우회 사용자와 이유를 기록할 수 있어 모든 작업을 추적 가능하고 책임 있게 관리하도록 합니다.
참고
이러한 승인 절차의 구현은 약간의 마찰을 일으킬 수 있으므로 진행하기 전에 보안 관리팀에서 적절한 범위를 관리하는지 여부를 확인하는 것이 중요합니다.
승인 절차는 다음의 경우에 사용할 수 있습니다.
- 푸시 보호 우회 - 푸시 보호를 우회할 수 있는 사용자를 선택하고 다른 모든 기여자의 시크릿 정보가 포함된 푸시에 대해 검토 및 승인 주기를 추가할 수 있습니다. 푸시 보호를 위해 위임된 우회에 대한 자세한 내용은 푸시 보호를 위한 위임 바이패스에 대해을 참조하세요.
- code scanning 및 secret scanning에 대한 경고 해제 - 지정된 개인만 경고를 해제하거나 종료할 수 있도록 설정하면 경고 평가 과정에 대해 추가 제어와 가시성을 확보할 수 있습니다. 위임된 경고 해제에 대한 자세한 내용은 다음 문서를 참조하세요. * 코드 검사에 위임된 경고 해제 사용 * 비밀 스캔에 대한 권한 위임된 경고 해제 사용 설정
보안 취약성 및 오류 식별
많은 산업 분야에서는 정기적인 보안 평가 및 취약점 관리를 요구하는 규제가 있습니다. Code scanning 은 안전하지 않은 패턴 등 코드의 보안 위험을 파악하고 완화하여 업계 표준을 준수하도록 도와줍니다.
Code scanning은 CI/CD 파이프라인에 통합하여 코드베이스에 대한 지속적인 모니터링 및 평가를 제공할 수 있습니다.
code scanning의 빠른 시작을 위해서는 기본 설정을 사용할 것을 권장합니다. 코드 검사에 대한 기본 설정 구성을(를) 참조하세요.
Secret scanning은 엔터프라이즈, 조직 및 리포지토리 수준에서 활성화할 수 있습니다. 엔터프라이즈 수준에서 활성화에 대한 정보는 어플라이언스에 대한 코드 스캐닝 구성를 참조하세요.