Enterprise Server 3.20 은(는) 현재 릴리스 후보로 제공됩니다.

보안 개요

조직 또는 엔터프라이즈의 전반적인 보안 환경에 대한 인사이트를 얻고, 보안 개요를 통해 개입이 필요한 리포지토리를 식별할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

보안 개요는 GitHub Team 또는 GitHub Enterprise가 소유하고 Secret risk assessment를 실행한 모든 조직에서 사용할 수 있습니다.

조직.

무료 비밀 위험 평가를 실행하는 방법 알아보기

이 기사에서

보안 개요에는 보안 경고의 탐지, 수정 및 방지 추세를 파악하고 코드베이스의 현재 상태를 자세히 확인할 수 있는 포커스 뷰가 포함되어 있습니다.

GitHub Enterprise의 모든 조직은 Dependabot 데이터를 활용하여 전체 리포지토리의 공급망 보안 상태를 평가할 수 있습니다.

또한 Advanced Security code scanning 및 secret scanning 기능 데이터는 GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security에서도 확인할 수 있습니다. 자세한 내용은 Dependabot 경고 정보GitHub Advanced Security 소개을(를) 참조하세요.

보기에 대해

참고

모든 보기에는 조직 또는 엔터프라이즈 내에서 권한이 있는 리포지토리의 기본 분기에 대한 정보와 메트릭이 표시됩니다.

이 대화형 보기를 통해 집계된 데이터를 필터링하여 상세히 분석할 수 있습니다. 이를 통해 고위험 소스를 식별하고 보안 동향을 파악하며, 특히 풀 리퀘스트 분석이 코드 내 보안 취약성 유입을 차단하는 데 얼마나 기여하는지 확인할 수 있습니다. 여러 필터를 적용해 더 좁은 관심 영역에 초점을 맞추면, 보기 전체의 모든 데이터와 메트릭이 선택한 옵션을 반영해 변경됩니다. 자세한 내용은 보안 개요에서 경고 필터링을(를) 참조하세요.

보안 경고의 각 유형별로 전용 보기가 제공됩니다. 특정 유형의 경고로 분석 범위를 제한한 다음, 각 보기와 관련된 필터 범위를 사용하여 결과를 더욱 좁힐 수 있습니다. 예를 들어, secret scanning 경고 보기에서 “비밀 유형” 필터를 사용하면 GitHub personal access token와(과) 같은 특정 비밀에 대한 비밀 검사 경고만 볼 수 있습니다.

참고

보안 개요는 보안 기능에서 발생하는 활성 경고를 보여줍니다. 리포지토리 보안 개요에 경고가 표시되지 않더라도, 감지되지 않은 보안 취약점이나 코드 오류가 여전히 존재할 수 있으며, 관련 기능이 리포지토리에서 비활성화되어 있을 가능성도 있습니다.

조직 수준 보안 개요에 대해

회사의 애플리케이션 보안 팀은 조직의 보안 상태에 대한 광범위하고 구체적인 분석을 위해 서로 다른 보기를 사용할 수 있습니다. 예를 들어, 팀은 “개요” 대시보드를 사용하여 조직의 보안 상태와 진행 상황을 추적할 수 있습니다.

모든 조직의 보안 탭에서 보안 개요를 찾을 수 있습니다. 각 보기에는 액세스 권한이 있는 데이터의 요약이 표시됩니다. 필터를 추가하면 보기 전체의 모든 데이터와 메트릭이 변경되어 선택한 리포지토리 또는 경고가 반영됩니다.

보안 개요는 다양한 방식으로 사용량 및 경고 데이터를 탐색할 수 있는 여러 보기를 제공합니다.

  •         **개요:** 보안 경고 **검색**, **수정** 및 **방지** 의 추세를 시각화합니다. 대시보드 액세스 및 사용에 대한 자세한 내용은 [AUTOTITLE](/code-security/security-overview/viewing-security-insights)을 참조하세요. 메트릭 및 계산에 대한 자세한 설명은 [AUTOTITLE](/code-security/reference/security-at-scale/security-overview-dashboard-metrics)을 참조하세요.

  •         **위험 및 경고 보기:** 모든 유형의 보안 경고에서 위험을 탐색하거나 특정 경고 유형에 집중하여 취약한 종속성, 코드 약점, 유출된 비밀 등의 위험을 식별하려면 [AUTOTITLE](/code-security/security-overview/assessing-code-security-risk)을 참조하세요.

  •         **적용 범위:** 조직의 리포지토리에서 보안 기능 채택을 평가합니다. [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security)을(를) 참조하세요.

  •         **평가:** Advanced Security 기능 사용 여부와 관계없이 GitHub Team 및 GitHub Enterprise의 조직은 무료 보고서를 실행하여 조직의 코드에서 유출된 비밀을 검사할 수 있습니다. [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment)을(를) 참조하세요.

  •         **사용 추세:** 다양한 팀이 보안 기능을 얼마나 신속하게 도입하고 있는지 확인해 보시기 바랍니다.

  •         **CodeQL 끌어오기 요청 경고:** 풀 리퀘스트에서 CodeQL을 실행할 때의 영향을 평가하고 개발팀이 코드 스캔 경고를 해결하는 방법을 이해하려면 [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts)을(를) 참조하세요.  **Dependabot 대시보드**: 리포지토리 전반에서 보안 취약점을 식별하고 수정한 후 측정하여 중요한 문제의 우선순위를 지정하고 추적합니다.

  •         **Secret scanning 인사이트:** 푸시 보호에 의해 차단되는 비밀 유형 및 푸시 보호를 우회하는 팀에 대해 자세히 알아보려면

비밀 스캐닝 푸시 보호의 메트릭 보기푸시 보호 바이패스 요청 검토을(를) 참조하세요.

enterprise의 보안 개요에 대해

enterprise의 보안 탭에서 보안 개요를 찾을 수 있습니다. 각 페이지에는 엔터프라이즈의 집계된 보안 정보와 리포지토리별 보안 정보가 표시됩니다.

기업의 보안 개요에는 경고 추세를 시각화하는 개요 대시보드를 포함하여 데이터를 탐색하는 다양한 방법을 제공하는 여러 보기가 있습니다. 대시보드에 대한 자세한 내용은 AUTOTITLE 및 AUTOTITLE 을 참조 하세요.

보안 개요에서의 데이터 접근

보안 개요에서 볼 수 있는 내용은 조직 또는 기업의 역할 및 권한에 따라 달라집니다.

일반적으로 다음을 수행합니다.

  •         **조직 소유자 및 보안 관리자는 조직의** 모든 리포지토리에서 보안 데이터를 볼 수 있습니다.

  •         **조직 구성원은** 보안 경고에 액세스할 수 있는 리포지토리에 대해서만 데이터를 볼 수 있습니다.

  •         **엔터프라이즈 소유자는** 조직 소유자 또는 보안 관리자인 조직의 엔터프라이즈 수준 보안 개요에서 집계된 보안 데이터를 볼 수 있습니다. 리포지토리 수준 세부 정보를 보려면 조직 내에서 적절한 역할이 있어야 합니다.

보안 개요는 볼 수 있는 권한이 있는 리포지토리에 대해서만 데이터를 표시하며, 일부 보기 또는 작업은 역할에 따라 제한될 수 있습니다.

사용 가능한 보기 및 리포지토리 액세스가 표시 유형에 미치는 영향을 포함하여 역할별 자세한 권한 정보는 보안 개요 권한을 참조하세요.

대시보드 데이터 정확도 이해

개요 대시보드는 리포지토리의 현재 상태 및 보안 경고의 기록 상태를 기반으로 메트릭을 표시합니다. 이 데이터 모델은 데이터 일관성에 중요한 영향을 미칩니다.

          **시간에 따른 데이터 변경 내용:** 대시보드 메트릭은 다른 시간에 볼 때 동일한 기록 기간 동안 변경될 수 있습니다. 이 문제는 리포지토리가 삭제되거나, 보안 권고가 수정되거나, 다른 변경 내용이 기본 데이터에 영향을 줄 때 발생합니다. 규정 준수 보고서 또는 감사 목적으로 일관된 데이터가 필요한 경우 감사 로그를 대신 사용합니다. 
          [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)을(를) 참조하세요.

          **경고 데이터는 기록입니다. 리포지토리 특성은 현재입니다** . 대시보드는 선택한 기간 동안의 기록 상태를 기반으로 보안 경고를 추적합니다. 그러나 리포지토리 필터(예: 보관됨/활성 상태)는 리포지토리의 _현재 상태를_ 반영합니다.

예를 들어 현재 리포지토리를 보관하는 경우 해당 리포지토리의 열려 있는 경고는 자동으로 닫힙니다. 그런 다음 지난 주에 대한 개요 대시보드를 보는 경우:

  • 리포지토리는 보관된 리포지토리(현재 상태)를 표시하도록 필터링할 때만 나타납니다.
  • 해당 리포지토리의 경고는 열린 상태로 표시됩니다(지난 주 동안의 상태).

이 디자인은 분석하는 기간 동안 경고 추세가 보안 활동을 정확하게 반영하도록 하는 반면, 리포지토리 필터는 현재 리포지토리 구조에 집중하는 데 도움이 됩니다.

추가 읽기

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-enterprise-security/establish-complete-coverage)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)