비밀 검사 경고에 대해

다양한 형식 비밀 검사 경고에 대해 알아봅니다.

누가 이 기능을 사용할 수 있나요?

리포지토리 소유자, 조직 소유자, 보안 관리자 및 관리자 역할이 있는 사용자

Secret scanning은 다음 리포지토리 유형에 사용할 수 있습니다.

  •         **공용 리포지토리**: Secret scanning은(는) 자동으로 무료로 실행됩니다.

  •         **조직 소유 개인 및 내부 리포지토리**: [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security)을 사용하면 GitHub Team 또는 GitHub Enterprise Cloud에서 활성화된 경우 이용할 수 있습니다.

  •         **사용자 소유 리포지토리**: GitHub Enterprise Cloud에서 Enterprise Managed Users를 사용할 수 있습니다. 엔터프라이즈에 GitHub Secret Protection 기능이 활성화된 경우 [GitHub Enterprise Server](/get-started/learning-about-github/about-github-advanced-security)에서 사용할 수 있습니다.

이 기사에서

경고 유형에 대해

2가지 유형의 비밀 검사 경고이(가) 있습니다.

  • 비밀 스캔 경고: 리포지토리에서 지원되는 비밀이 검색되면 리포지토리의 보안 탭에서 사용자에게 보고됩니다.
  • 푸시 보호 경고: 기여자가 푸시 보호를 우회하는 경우 리포지토리의 보안 탭에서 사용자에게 보고됩니다.

사용자 경고 정보 비밀 검사 경고

          리포지토리에서 secret scanning을(를) 사용 설정하거나 secret scanning이(가) 사용 설정된 리포지토리로 커밋을 푸시하면, GitHub에서 서비스 공급자에서 정의한 패턴 및 엔터프라이즈, 조직 또는 리포지토리에 정의된 사용자 지정 패턴과 일치하는 비밀에 대한 콘텐츠를 스캔합니다.
          
          secret scanning에서 비밀을 검색하면 GitHub에서 경고를 생성합니다.
          GitHub은(는) 리포지토리의 **보안** 탭에 경고를 표시합니다.

경고를 보다 효과적으로 선별할 수 있도록 GitHub는 경고를 두 개의 목록으로 구분합니다.

  •         **기본** 경고

  •         **일반** 경고

기본 경고 목록

기본 경고 목록에는 지원되는 패턴 및 지정된 사용자 지정 패턴과 관련한 경고가 표시됩니다. 경고의 기본 보기입니다.

          일반 경고 목록

일반실험적비 공급자 패턴(예: 프라이빗 키)과 관련된 경고가 표시됩니다. 이러한 유형의 경고는 오탐지율이 높거나 테스트에 사용된 비밀을 포함할 수 있습니다. 기본 경고 목록에서 일반실험적할 수 있습니다.

          GitHub는 새 패턴과 비밀 형식을 일반 경고 목록에 계속 추가하고 기능이 완료되면(즉, 적절히 낮은 볼륨과 낮은 오탐률이 있을 경우) 기본 목록으로 승격할 것입니다.

또한 이 범주에 속하는 경고는 다음과 같은 특징이 있습니다.

  • 리포지토리당 경고 수량이 5000개(열린 경고 및 닫힌 경고 포함)로 제한됩니다.

  • 보안 개요에 대한 요약 보기에는 표시되지 않고 "Secret scanning" 보기에만 표시됩니다.

  • 비 공급자 패턴GitHub에 에 대해 처음 검색된 위치만 표시됩니다.

            GitHub 공급자가 아닌 패턴

검색하려면 먼저 리포지토리 또는 조직에 대해 기능을 사용하도록 설정해야 합니다. 자세한 내용은 공급자가 아닌 패턴에 대해 비밀 스캔을 사용합니다..

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

푸시 보호 경고에 대해

푸시 보호 검사는 지원되는 암호 푸시를 검사합니다. 푸시 보호 기능에서 지원되는 비밀이 검색되면 푸시가 차단됩니다. 참가자가 푸시 보호를 우회하여 비밀을 리포지토리에 푸시하면 푸시 보호 경고가 생성되고 리포지토리 탭에 Security 표시됩니다. 리포지토리의 모든 푸시 보호 경고를 확인하려면 경고 페이지에서 bypassed: true 로 필터링하세요. 자세한 내용은 비밀 스캔에서 경고 보기 및 필터링을(를) 참조하세요.

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

참고

          이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 _최근에 만든_ 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 [AUTOTITLE](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions)을 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)