비밀 검사 경고에 대해

여러 유형의 비밀 검사 경고에 대해 자세히 알아보겠습니다.

누가 이 기능을 사용할 수 있나요?

리포지토리 소유자, 조직 소유자, 보안 관리자 및 관리자 역할이 있는 사용자

Secret scanning은 다음 리포지토리 유형에 사용할 수 있습니다.

  •         **공용 리포지토리**: Secret scanning은(는) 자동으로 무료로 실행됩니다.

  •         **조직 소유 개인 및 내부 리포지토리**: [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security)을 사용하면 GitHub Team 또는 GitHub Enterprise Cloud에서 활성화된 경우 이용할 수 있습니다.

  •         **사용자 소유 리포지토리**: GitHub Enterprise Cloud에서 Enterprise Managed Users를 사용할 수 있습니다. 엔터프라이즈에 GitHub Secret Protection 기능이 활성화된 경우 [GitHub Enterprise Server](/get-started/learning-about-github/about-github-advanced-security)에서 사용할 수 있습니다.

이 기사에서

경고 유형에 대해

3가지 유형의 비밀 검사 경고이(가) 있습니다.

  • 사용자 경고: 리포지토리에서 지원되는 비밀이 검색되면 리포지토리의 보안 탭에서 사용자에게 보고됩니다.
  • 푸시 보호 경고: 기여자가 푸시 보호를 우회하는 경우 리포지토리의 보안 탭에서 사용자에게 보고됩니다.
  • 파트너 경고: {data variables.prodname_secret_scanning %}의 파트너 프로그램에 속한 비밀 공급자에게 직접 보고됩니다. 이러한 경고는 리포지토리의 보안 탭에 보고되지 않습니다.

비밀 검사 경고에 대해

리포지토리에서 secret scanning을(를) 사용 설정하거나 secret scanning이(가) 사용 설정된 리포지토리로 커밋을 푸시하면, GitHub에서 서비스 공급자에서 정의한 패턴 및 엔터프라이즈, 조직 또는 리포지토리에 정의된 사용자 지정 패턴과 일치하는 비밀에 대한 콘텐츠를 스캔합니다.

secret scanning에서 비밀을 검색하면 GitHub에서 경고를 생성합니다. GitHub은(는) 리포지토리의 보안 탭에 경고를 표시합니다.

경고를 보다 효과적으로 분류할 수 있도록 GitHub은(는) 경고를 두 개의 목록으로 구분합니다.

  •         **기본** 경고

  •         **일반** 경고

기본 경고 목록

기본 경고 목록에는 지원되는 패턴 및 지정된 사용자 지정 패턴과 관련한 경고가 표시됩니다. 경고의 기본 보기입니다.

일반 경고 목록

일반 경고 목록에는 공급자 패턴이 아닌 항목(예: 개인 키), 또는 AI를 사용해 탐지된 일반 비밀(예: 비밀번호)과 관련된 경고가 표시됩니다. 이러한 유형의 경고는 오탐지율이 높거나 테스트에 사용된 비밀을 포함할 수 있습니다. 기본 경고 목록에서 일반 경고 목록으로 전환할 수 있습니다.

GitHub는 일반 경고 목록에 새로운 패턴과 비밀 유형을 계속 추가하며, 기능이 완성되면(즉, 적절히 낮은 발생량과 오탐률을 달성하면) 기본 목록으로 승격합니다.

또한 이 범주에 속하는 경고는 다음과 같은 특징이 있습니다.

  • 리포지토리당 경고 수량이 5000개(열린 경고 및 닫힌 경고 포함)로 제한됩니다.
  • 보안 개요 요약 뷰에는 표시되지 않으며, "Secret scanning" 뷰에서만 표시됩니다.
  • 공급자 패턴이 아닌 경우 GitHub에는 처음 다섯 개의 탐지 위치만 표시되며, AI로 탐지된 일반 비밀의 경우 처음 탐지된 위치만 표시됩니다.

GitHub가 공급자 패턴 및 일반 비밀을 스캔하도록 하려면, 먼저 해당 리포지토리나 조직에서 기능을 활성화해야 합니다합니다. 자세한 내용은 공급자가 아닌 패턴에 대해 비밀 스캔을 사용합니다.Copilot 비밀 스캐닝의 일반 비밀 감지 활성화을(를) 참조하세요.

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

푸시 보호 경고에 대해

푸시 보호 검사는 지원되는 암호 푸시를 검사합니다. 푸시 보호 기능에서 지원되는 비밀이 검색되면 푸시가 차단됩니다. 참가자가 푸시 보호 기능을 우회하여 리포지토리에 비밀을 푸시하는 경우, 푸시 보호 경고가 생성되고 리포지토리의 보안 탭에서 확인할 수 있습니다. 리포지토리의 모든 푸시 보호 경고를 확인하려면 경고 페이지에서 bypassed: true 로 필터링하세요. 자세한 내용은 비밀 스캔에서 경고 보기 및 필터링을(를) 참조하세요.

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

참고

또한 ‘사용자에 대한 푸시 보호’ 개인 계정 푸시 보호를 활성화하면 지원되는 비밀이 모든 퍼블릭 리포지토리에 실수로 푸시되는 것을 방지할 수 있습니다. 사용자 기반 푸시 보호만 무시를 선택했다면 경고가 발생하지 않습니다. 경고는 리포지토리 자체에 푸시 보호가 설정되어 있을 때만 발생합니다. 자세한 내용은 사용자에 대한 푸시 보호 관리을(를) 참조하세요.

이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 최근에 만든 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 비밀 정보 스캔 탐지 범위을(를) 참조하세요.

파트너 경고에 대해

GitHub에서 공개 리포지토리나 npm 패키지에서 유출된 비밀을 발견하면, GitHub의 비밀 검색 파트너 프로그램의 일환으로 해당 비밀 제공자에게 직접 경고가 전달됩니다. 파트너에 대한 비밀 검사 경고에 대한 자세한 내용은 비밀 검사 파트너 프로그램지원되는 비밀 검사 패턴을(를) 참조하세요.

파트너 경고는 리포지토리 관리자에게 전송되지 않으므로, 이러한 유형의 경고에 대해서는 별도의 조치를 취할 필요가 없습니다.

추가 읽기

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)