다음의 엔터프라이즈 평가판 살펴보기 GitHub Secret Protection

비즈니스 요구 사항에 맞는지를 평가할 수 있도록 GitHub Enterprise Cloud에서 사용할 수 있는 GitHub Secret Protection의 기능을 소개합니다.

이 기사에서

이 가이드에서는 기존 또는 평가판 엔터프라이즈 계정에 대한 평가판을 GitHub Advanced SecurityGitHub 계획하고 시작했다고 가정합니다. GitHub Advanced Security 파일럿 계획하기을(를) 참조하세요.

소개

          GitHub Secret Protection 기능은 모든 공용 리포지토리에서와 마찬가지로 프라이빗 및 내부 리포지토리에서 동일한 방식으로 작동합니다. 이 문서에서는 다음과 같이 사용할 GitHub Secret Protection때 보안 누출로부터 비즈니스를 보호하는 데 사용할 수 있는 추가 기능에 중점을 둡니다.
  • 사용자 지정 패턴을 정의하여 사용자가 이용하는 추가 액세스 토큰을 식별합니다.
  • AI를 사용하여 잠재적 암호를 감지합니다.
  • 푸시 보호 및 비밀 검사 경고의 바이패스 프로세스를 제어하고 감사합니다.
  • 노출된 토큰에 대한 유효성 검사를 사용하도록 설정합니다.

무료 비밀 위험 평가를 실행하는 방법을 알아보려면 설명서에서 초기 비밀 위험 평가 생성을 GitHub Enterprise Cloud 참조하세요.

무료 비밀 위험 평가를 사용하여 조직의 코드에서 유출된 비밀을 이미 검사한 경우 조직의 탭에 있는 Security 추가 보기를 사용하여 해당 데이터를 보다 완벽하게 탐색할 수 있습니다.

사용 가능한 기능에 대한 자세한 내용은 다음을 참조하세요 GitHub Secret Protection.

          Secret Protection의 보안 구성

대부분의 기업은 이러한 기능을 사용하도록 설정된 보안 구성을 적용하여 모든 리포지토리에서 푸시 보호 기능을 사용하도록 Secret Protection 선택합니다. 이렇게 하면 사용자가 GitHub에서 토큰을 누수하기 직전에 경고가 발생하는 것 외에도, 리포지토리에서 GitHub 이미 추가된 액세스 토큰을 확인할 수 있습니다. 엔터프라이즈 수준의 보안 구성을 생성하고 테스트 리포지토리에 이를 적용하는 방법에 대한 자세한 정보는 평가판 엔터프라이즈에서 보안 기능 활성화을 참조하세요.

의 결과를 볼 수 있는 액세스 권한 제공 secret scanning

기본적으로 리포지토리 관리자와 조직 소유자만 해당 영역의 모든 secret scanning 경고를 볼 수 있습니다. 파일럿 기간 중에 발견된 경고로 접근하고자 하는 모든 조직 팀과 사용자에게 사전에 정의된 보안 관리자 역할을 할당해야 합니다. 또한 엔터프라이즈 계정 소유자에게 파일럿의 각 조직을 대상으로 이 역할을 부여할 수도 있습니다. 자세한 내용은 조직의 보안 관리자 관리을(를) 참조하세요.

엔터프라이즈용 탭에서 평가판 엔터프라이즈의 조직에서 찾은 결과에 대한 요약을 Security 볼 수 있습니다. 각 보안 경고 유형에 대한 별도의 보기도 있습니다. 보안 인사이트 보기을(를) 참조하세요.

추가 액세스 토큰을 식별하세요

사용자 지정 패턴을 생성하여 리포지토리, 조직, 엔터프라이즈 수준에서 추가 액세스 토큰을 식별할 수 있습니다. 패턴이 엔터프라이즈 전체에서 사용되도록 하려면 대부분은 엔터프라이즈 수준에서 사용자 지정 패턴을 정의해야 합니다. 또한 토큰 형식이 변경될 때 패턴을 업데이트해야 하는 경우에도 쉽게 유지할 수 있습니다.

사용자 지정 패턴을 만들고 게시한 후에는 모든 secret scanning 검사와 푸시 보호에 새 패턴이 자동으로 포함됩니다. 사용자 지정 패턴 생성에 관한 자세한 내용은 비밀 검사를 위한 사용자 지정 패턴 정의을 참조하세요.

AI를 사용하여 잠재적인 암호 검색하기

엔터프라이즈 수준에서는 정규식으로 식별할 수 없는 비밀 정보(일반 비밀 또는 비공급자 패턴으로도 알려짐)를 탐지하기 위해 AI 사용을 허용할지 여부를 완전히 제어할 수 있습니다.

  • 전체 엔터프라이즈에 대해 기능을 켜거나 끕니다.
  • 조직 및 리포지토리 수준에서 기능 제어를 차단하기 위한 정책을 설정합니다.
  • 조직 소유자 또는 리포지토리 관리자가 기능을 제어할 수 있도록 정책을 설정합니다.

사용자 지정 패턴과 마찬가지로 AI 검색을 사용하도록 secret scanning 설정하고 푸시 보호를 사용하면 모든 검사에서 AI 검색을 자동으로 사용하기 시작합니다. 엔터프라이즈 수준의 제어에 대한 자세한 내용은 enterprise에 대한 추가 비밀 검사 설정 구성엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을 참조하세요.

바이패스 프로세스 제어 및 감사

푸시 보호가 GitHub Secret Protection 없이 GitHub 공용 리포지토리로의 푸시를 차단할 때, 사용자는 두 가지 간단한 선택을 할 수 있습니다: 제어를 우회하거나, 브랜치와 그 기록에서 강조된 콘텐츠를 제거하는 것입니다. 푸시 보호를 무시하도록 선택한 경우 경고가 secret scanning 자동으로 생성됩니다. 이렇게 하면 개발자가 식별된 secret scanning콘텐츠에 대한 감사 내역을 제공하면서 작업을 신속하게 차단 해제할 수 있습니다.

대규모 팀에서는 일반적으로 액세스 토큰 및 기타 비밀에 대한 잠재적 게시를 보다 엄격하게 제어하길 원합니다. 이를 통해 GitHub Secret Protection푸시 보호를 우회하는 요청을 승인하는 검토자 그룹을 정의하여 개발자가 여전히 활성 상태인 토큰을 실수로 누수할 위험을 줄일 수 있습니다. 해제 요청을 승인하는 검토자 그룹을 정의할 비밀 검사 경고수도 있습니다.

검토자는 조직 수준의 보안 구성 또는 리포지토리에 대한 설정에서 정의됩니다. 자세한 내용은 푸시 보호를 위한 위임 바이패스에 대해을(를) 참조하세요.

유효성 검사 활성화

유효성 검사를 활성화하면 감지된 토큰이 리포지토리, 조직, 엔터프라이즈 수준에서 여전히 활성 상태인지 확인할 수 있습니다. 일반적으로 엔터프라이즈 또는 조직 수준 보안 구성을 사용하여 기업 전반적으로 이 기능을 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 설명서의 리포지토리에 대한 유효성 검사 사용 을 GitHub Enterprise Cloud 참조하세요.

다음 단계

추가 컨트롤을 Secret Protection 사용하도록 설정했으면, 비즈니스 요구 사항에 맞게 테스트하고 자세히 탐색할 준비가 된 것입니다. 사용할 수 있는 GitHub Code Security의 옵션을 살펴볼 준비가 되어 있을 수도 있습니다.

  •         [AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-code-scanning)

  •         [대규모 적용 GitHub Advanced Security](https://wellarchitected.github.com/library/application-security/recommendations/enforce-ghas-at-scale/)