팁
이 문서는 GitHub Advanced Security을 대규모로 채택하는 것에 관한 시리즈의 일부입니다. 이 시리즈의 이전 문서는 1단계: 롤아웃 전략 및 목표 조정을(를) 참조하세요.
code scanning을(를) 활성화 준비 중
Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별되는 모든 문제는 리포지토리에 표시됩니다. 자세한 내용은 [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning)을 참조하세요.
수백 개의 리포지토리에 걸쳐 배포하는 것은, 특히 비효율적으로 수행될 때, 어려울 수 있습니다. 다음 단계를 수행하면 효율적이고 성공적으로 롤아웃할 수 있습니다.
팀을 code scanning을 위해 준비시키기
먼저 팀이 code scanning을 사용할 수 있도록 준비합니다. 사용하는 팀이 code scanning많을수록 수정 계획을 추진하고 출시 진행 상황을 모니터링해야 하는 데이터가 늘어나게 됩니다.
code scanning에 대한 소개는 다음을 참조하세요.
* 코드 검사 정보 * 코드 검사 경고 정보 * 리포지토리에 대한 코드 검사 경고 평가
핵심은 가능한 한 많은 팀이 code scanning을 사용할 준비를 하도록 돕는 것입니다. 팀이 적절하게 수정하도록 장려할 수도 있지만, 이 단계에서는 문제 해결보다 사용 및 code scanning 사용 우선 순위를 지정하는 것이 좋습니다.
code scanning 기기 활성화
파일럿 프로그램을 진행하고 기업에서 code scanning을(를) 롤아웃하려면, 먼저 장치에서 code scanning을(를) 활성화해야 합니다. 자세한 내용은 어플라이언스에 대한 코드 스캐닝 구성을(를) 참조하세요.
사용 준비 중 secret scanning
참고
사용하도록 설정된 secret scanningGitHub 리포지토리에서 비밀이 검색되면 리포지토리에 대한 보안 경고에 대한 액세스 권한이 있는 모든 사용자에게 경고합니다.
프로젝트에서 외부 서비스와 통신하는 경우 토큰 또는 프라이빗 키를 인증에 사용할 수 있습니다. 비밀을 리포지토리에 체크 인하면 리포지토리에 대한 읽기 액세스 권한이 있는 모든 사용자가 비밀을 사용하여 해당 권한으로 외부 서비스에 액세스할 수 있습니다. Secret scanning는 GitHub 리포지토리의 모든 브랜치에서 전체 Git 기록을 스캔하여 비밀 정보를 감지하고, 비밀 정보를 포함할 경우 푸시를 차단하거나 경고를 보냅니다. 자세한 내용은 비밀 검사 정보을(를) 참조하세요.
사용하도록 설정할 때 고려 사항 secret scanning
secret scanning 조직 수준에서 사용하도록 설정하는 것은 쉬울 수 있지만 조직 수준에서 **[모두 사용]** 을 클릭하고 **모든 새 리포지토리에 대해 자동으로 사용하도록 설정하는 secret scanning** 옵션을 선택하면 다음과 같은 몇 가지 다운스트림 효과가 있습니다.
라이선스 사용량
모든 리포지토리에서 secret scanning를 사용하도록 활성화하면 GitHub Secret Protection 라이선스 사용을 최대화할 수 있습니다. 현재 커밋한 모든 사용자에게 충분한 라이선스가 있는 경우에는 괜찮습니다. 앞으로 몇 달 동안 활성 개발자 수가 증가할 가능성이 있는 경우, 라이선스 제한을 초과하게 되어 새로 만든 리포지토리에서는 secret scanning를 사용할 수 없게 될 수 있습니다.
검색된 비밀의 초기 대용량
대규모 조직에서 secret scanning를 활성화하면 많은 비밀이 발견될 수 있음을 준비해야 합니다. 때때로 이것은 조직에 충격으로 다가와서 경종을 울립니다. 모든 리포지토리에서 secret scanning를 활성화하려면, 조직 전체의 여러 경고에 어떻게 응답할 것인지에 대한 계획을 수립하십시오.
Secret scanning 는 개별 리포지토리에 대해 사용하도록 설정할 수 있습니다. 자세한 내용은 [AUTOTITLE](/code-security/secret-scanning/enabling-secret-scanning-features/enabling-secret-scanning-for-your-repository)을(를) 참조하세요.
Secret scanning 는 위에서 설명한 대로 조직의 모든 리포지토리에 대해서도 사용할 수 있습니다. 모든 리포지토리를 사용하도록 설정하는 방법에 대한 자세한 내용은 [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization)을(를) 참조하세요.
에 대한 사용자 지정 패턴 secret scanning
Secret scanning는 많은 수의 기본 패턴을 검색하지만 인프라에 고유한 비밀 형식이나 현재 검색되지 않는 통합자가 GitHubsecret scanning 사용하는 비밀 형식과 같은 사용자 지정 패턴을 검색하도록 구성할 수도 있습니다. 파트너 패턴에 지원되는 비밀에 대한 자세한 내용은 [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns)을(를) 참조하세요.
리포지토리를 감사하고 보안 및 개발자 팀에 문의할 때 나중에 사용자 지정 패턴을 구성하는 데 사용할 비밀 유형 목록을 작성합니다 secret scanning. 자세한 내용은 비밀 검사를 위한 사용자 지정 패턴 정의을(를) 참조하세요.
secret scanning에 대한 푸시 보호
조직 및 리포지토리에 대한 푸시 보호는 secret scanning 비밀이 코드베이스에 커밋되기 전에 지원되는 비밀에 대한 푸시를 확인하도록 지시합니다. 지원되는 비밀에 대한 자세한 내용은 지원되는 비밀 검사 패턴을(를) 참조하세요.
푸시에서 비밀이 검색되면 해당 푸시가 차단됩니다. Secret scanning 작성자가 비밀을 검토하고 제거하거나 필요한 경우 해당 비밀의 푸시를 허용할 수 있도록 검색한 비밀의 목록을 제공합니다. Secret scanning은 사용자 지정 패턴에 대한 푸시를 확인할 수도 있습니다.
개발자는 비밀이 가양성인지, 테스트에 사용되는지 또는 나중에 수정될 예정인지를 보고하여 푸시 보호를 무시할 수 있습니다.
기여자가 푸시 보호 차단을 우회하면 GitHub:
- 리포지토리, 조직 및 엔터프라이즈의 보안 탭에 경고를 만듭니다.
- 감사 로그에 바이패스 이벤트를 추가합니다.
- 비밀에 대한 링크와 허용된 이유와 함께 리포지토리를 감시하는 개인 계정, 조직 및 엔터프라이즈 소유자, 보안 관리자 및 리포지토리 관리자에게 이메일 경고를 보냅니다.
푸시 보호를 사용하도록 설정하기 전에 푸시 보호를 무시할 수 있는 조건에 대한 개발자 팀을 위한 참고 자료를 생성해야 하는지 여부를 고려합니다. 개발자가 차단된 비밀을 푸시하려고 할 때 표시되는 메시지에서 이 리소스에 대한 링크를 구성할 수 있습니다.
다음으로, 기여자가 푸시 보호를 무시하는 결과 생성되는 경고를 관리하고 모니터링하기 위한 다양한 옵션을 숙지합니다.
자세한 내용은 푸시 보호에 대해을(를) 참조하세요.
다음 단계
이 시리즈의 다음 문서는 3단계: 파일럿 프로그램을(를) 참조하세요.