비밀 검사 경고에 대해

**조직 소유 개인 및 내부 리포지토리**: [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security)을 사용하면 GitHub Team 또는 GitHub Enterprise Cloud에서 활성화된 경우 이용할 수 있습니다.

**사용자 소유 리포지토리**: GitHub Enterprise Cloud에서 Enterprise Managed Users를 사용할 수 있습니다. 엔터프라이즈에 GitHub Secret Protection 기능이 활성화된 경우 [GitHub Enterprise Server](/get-started/learning-about-github/about-github-advanced-security)에서 사용할 수 있습니다.

경고 유형에 대해

3가지 유형의 비밀 검사 경고이(가) 있습니다.

사용자 경고: 리포지토리에서 지원되는 비밀이 검색되면 리포지토리의 보안 탭에서 사용자에게 보고됩니다.
푸시 보호 경고: 기여자가 푸시 보호를 우회하는 경우 리포지토리의 보안 탭에서 사용자에게 보고됩니다.
파트너 경고: {data variables.prodname_secret_scanning %}의 파트너 프로그램에 속한 비밀 공급자에게 직접 보고됩니다. 이러한 경고는 리포지토리의 보안 탭에 보고되지 않습니다.

사용자 경고 정보

          리포지토리에서 secret scanning을(를) 사용 설정하거나 secret scanning이(가) 사용 설정된 리포지토리로 커밋을 푸시하면, GitHub에서 서비스 공급자에서 정의한 패턴과 일치하는 비밀에 대한 콘텐츠를 스캔합니다.
          
          secret scanning에서 비밀을 검색하면 GitHub에서 경고를 생성합니다.
          GitHub은(는) 리포지토리의 **보안** 탭에 경고를 표시합니다.

경고를 보다 효과적으로 선별할 수 있도록 GitHub는 경고를 두 개의 목록으로 구분합니다.

```
        **기본** 경고
```
```
        **일반** 경고
```

기본 경고 목록

기본 경고 목록에는 지원되는 패턴 및 지정된 사용자 지정 패턴과 관련한 경고가 표시됩니다. 경고의 기본 보기입니다.

          일반 경고 목록

일반실험적비 공급자 패턴(예: 프라이빗 키) 또는 AI를 사용하여 검색된 일반 비밀(예: 암호)과 관련된 경고가 표시됩니다. 이러한 유형의 경고는 오탐지율이 높거나 테스트에 사용된 비밀을 포함할 수 있습니다. 기본 경고 목록에서 일반실험적할 수 있습니다.

          GitHub는 새 패턴과 비밀 형식을 일반 경고 목록에 계속 추가하고 기능이 완료되면(즉, 적절히 낮은 볼륨과 낮은 오탐률이 있을 경우) 기본 목록으로 승격할 것입니다.

또한 이 범주에 속하는 경고는 다음과 같은 특징이 있습니다.

리포지토리당 경고 수량이 5000개(열린 경고 및 닫힌 경고 포함)로 제한됩니다.
보안 개요에 대한 요약 보기에는 표시되지 않고 "Secret scanning" 보기에만 표시됩니다.
비 공급자 패턴GitHub에 대해 처음 5개의 검색된 위치만 표시되고 AI에서 검색된 일반 비밀에 대해 처음 검색된 위치만 표시됩니다.
```
        GitHub 공급자가 아닌 패턴 및 일반 비밀을
```

검색하려면 먼저 리포지토리 또는 조직에 대해 기능을 사용하도록 설정해야 합니다. 자세한 내용은 공급자가 아닌 패턴에 대해 비밀 스캔을 사용합니다. 및 Copilot 비밀 스캐닝의 일반 비밀 감지 활성화을 참조하세요.

리소스에 대한 액세스에 자격 증명 쌍이 필요한 경우 비밀 검색을 수행하면 쌍의 두 부분이 동일한 파일에서 검색되는 경우에만 경고를 만듭니다. 이렇게 하면 가장 중요한 누출이 부분적인 누출에 대한 정보 뒤에 숨겨지지 않습니다. 쌍의 두 요소를 함께 사용하여 공급자의 리소스에 액세스해야 하기 때문에 쌍 일치는 가양성(false positive) 감소에 도움이 됩니다.

푸시 보호 경고에 대해

푸시 보호 검사는 지원되는 암호 푸시를 검사합니다. 푸시 보호 기능에서 지원되는 비밀이 검색되면 푸시가 차단됩니다. 참가자가 푸시 보호를 우회하여 비밀을 리포지토리에 푸시하면 푸시 보호 경고가 생성되고 리포지토리 탭에 Security and quality 표시됩니다. 리포지토리의 모든 푸시 보호 경고를 확인하려면 경고 페이지에서 bypassed: true 로 필터링하세요. 자세한 내용은 비밀 스캔에서 경고 보기 및 필터링을(를) 참조하세요.

참고

          "사용자에 대한 푸시 보호"라는 개인 계정에 대한 푸시 보호를 사용하도록 설정하면 지원되는 비밀을 공용 리포지토리에 실수로 푸시할 수 _없습니다_ . 사용자 기반 푸시 보호만 무시를 선택했다면 경고가 발생하지 _않습니다_. 경고는 리포지토리 자체에 푸시 보호가 설정되어 있을 때만 발생합니다. 자세한 내용은 [AUTOTITLE](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users)을 참조하세요.

          이전 버전의 특정 토큰은 최신 버전보다 더 많은 가양성(false positive) 수를 생성할 수 있기 때문에 푸시 보호에서 지원되지 않을 수 있습니다. 푸시 보호는 레거시 토큰에도 적용되지 않을 수 있습니다. Azure Storage 키와 같은 토큰의 경우 GitHub은(는) 레거시 패턴과 일치하는 토큰이 아니라 _최근에 만든_ 토큰만 지원합니다. 푸시 보호 제한 사항에 대한 자세한 내용은 [AUTOTITLE](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions)을 참조하세요.

파트너 경고에 대해

          GitHub 공용 리포지토리 또는 npm 패키지에서 유출된 비밀을 감지하면 비밀 검사 파트너 프로그램의 일부GitHub인 경우 경고가 비밀 공급자에게 직접 전송됩니다. 자세한 내용은 파트너에 대한 비밀 검사 경고[AUTOTITLE 및 AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)을 참조[하세요](/code-security/reference/secret-security/supported-secret-scanning-patterns).

파트너 경고는 리포지토리 관리자에게 전송되지 않으므로, 이러한 유형의 경고에 대해서는 별도의 조치를 취할 필요가 없습니다.

추가 읽기

        [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

        [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)