API 키 및 암호와 같은 자격 증명이 리포지토리에 커밋되면 권한 없는 액세스의 대상이 됩니다. Secret scanning은 노출된 기밀 정보를 자동으로 찾아내어 보안 사고를 사전에 방지하도록 돕습니다.
팁
언제든지 유출된 비밀에 대한 조직의 코드에 대한 무료 평가를 실행할 수 있습니다.
보고서를 생성하려면 조직의 보안 탭에 평가 페이지를 표시한 다음, 조직 검사를 클릭합니다.를 엽니다.
시크릿 스캐닝이 코드를 보호하는 방법
Secret scanning은 API 키, 암호, 토큰 등 다양한 알려진 비밀 유형을 탐지하기 위해 리포지토리 내 모든 분기의 전체 Git 기록을 면밀히 검사합니다. GitHub 또한 새 비밀 형식이 추가되면 정기적으로 리포지토리를 다시 검사합니다.
GitHub도 자동으로 검색합니다.
- 문제의 설명 및 댓글
- 열림 및 닫힘 히스토리컬 문제에서 제목, 설명 및 주석
- 끌어오기 요청의 제목, 설명 및 댓글
- GitHub Discussions의 제목, 설명 및 댓글
- 비밀 요점
Secret scanning 경고 및 수정
secret scanning이 잠재적인 기밀 정보를 감지하면, GitHub은 해당 리포지토리의 보안 탭에 노출된 자격 증명 상세 내용을 담은 알림을 생성합니다.
경고가 수신되면 영향을 받는 자격 증명을 즉시 회전하여 무단 액세스를 방지합니다. Git 기록에서 비밀을 제거할 수도 있지만, 이미 자격 증명을 해지한 경우 시간이 많이 소요되고 불필요한 경우가 많습니다.
커스터마이즈 가능성
기본적인 파트너 및 공급자 비밀 검색 기능 외에도, secret scanning을 활용하면 다양한 요구 사항에 맞춰 기능을 확장하고 맞춤 설정할 수 있습니다.
-
**비공급자 패턴.** 프라이빗 키, 연결 문자열 및 일반 API 키와 같이 특정 서비스 공급자에 연결되지 않은 비밀로 검색을 확장합니다. -
**사용자 지정 패턴.** 사용자 고유의 정규식을 정의하여 기본 패턴에서 다루지 않는 조직별 비밀을 검색합니다. -
**유효성 검사.** 검색된 비밀이 여전히 활성 상태인지 확인하여 수정의 우선 순위를 지정합니다.
이 기능에 액세스하려면 어떻게 해야 하나요?
Secret scanning은 다음 리포지토리 유형에 사용할 수 있습니다.
-
**공용 리포지토리**: Secret scanning은(는) 자동으로 무료로 실행됩니다. -
**조직 소유 개인 및 내부 리포지토리**: [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security)을 사용하면 GitHub Team 또는 GitHub Enterprise Cloud에서 활성화된 경우 이용할 수 있습니다. -
**사용자 소유 리포지토리**: GitHub Enterprise Cloud에서 Enterprise Managed Users를 사용할 수 있습니다. 엔터프라이즈에 GitHub Secret Protection 기능이 활성화된 경우 [GitHub Enterprise Server](/get-started/learning-about-github/about-github-advanced-security)에서 사용할 수 있습니다.
다음 단계:
-
**경고를 받은 경우**[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) 을 참조하여 노출된 비밀을 검토, 해결 및 수정하는 방법을 알아봅니다. -
**조직을 보호하는 경우**[AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) 을 참조하여 유출된 비밀에 대한 조직의 노출을 확인합니다.
추가 읽기
- 지원되는 비밀 및 서비스 공급자의 전체 목록은 지원되는 비밀 검사 패턴을 참조하세요.