비밀 검사에서 경고 관리

이 문서의 내용

리포지토리에 체크 인된 비밀에 대한 경고를 보고 닫을 수 있습니다.

이 기능을 사용할 수 있는 사람

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning is available for organization-owned repositories in GitHub Enterprise Server if your enterprise has a license for GitHub Advanced Security. For more information, see "About secret scanning" and "About GitHub Advanced Security."

비밀 검사 경고

관리

  1. GitHub Enterprise Server 인스턴스에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "취약성 경고"에서 Secret scanning 을(를) 클릭합니다.

  4. "Secret scanning"에서 보려는 경고를 클릭합니다.

  5. 필요에 따라 유출된 비밀이 GitHub 토큰인 경우 비밀의 유효성을 검사하고 수정 단계를 따릅니다.

    참고: GitHub 토큰에 대한 유효성 검사가 현재 공개 베타 중이며 변경될 수 있습니다.

    GitHub은(는) GitHub 토큰에 대해서만 비밀의 유효성에 대한 정보를 제공합니다.

    유효성 검사결과
    활성 비밀GitHub이(가) 비밀이 활성 상태인지 확인했습니다.
    활성 비밀GitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다.
    활성 비밀일 수 있음GitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다.
    활성 비밀일 수 있음GitHub은(는) 이 비밀을 확인할 수 없습니다.
    비밀이 비활성 상태로 표시됨무단 액세스가 아직 발생하지 않았는지 확인해야 합니다.

  6. 경고를 해제하려면 "다음으로 닫기" 드롭다운 메뉴를 선택하고 경고 해결 이유를 클릭합니다.

    secret scanning 경고 스크린샷입니다. "다음으로 닫기"라는 드롭다운 메뉴가 진한 주황색 윤곽선으로 확장되고 강조 표시됩니다.

  7. 필요에 따라 "메모" 필드에 해제 주석을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. 경고 타임라인에서 해제된 모든 경고 및 해제 주석의 기록을 볼 수 있습니다. Secret scanning API를 사용하여 주석을 검색하거나 설정할 수도 있습니다. 설명은 resolution_comment 필드에 포함됩니다. 자세한 내용은 REST API 설명서의 “비밀 검사”을 참조하세요.

  8. [경고 닫기] 를 클릭합니다.

손상된 비밀 보안

비밀이 리포지토리에 커밋되면 보안이 손상된 것으로 간주해야 합니다. GitHub에서는 손상된 비밀에 대해 다음 작업을 권장합니다.

  • 손상된 GitHub personal access token에 대해 손상된 토큰을 삭제하고, 새 토큰을 만든 후 이전 토큰을 사용하는 모든 서비스를 업데이트합니다. 자세한 내용은 "개인용 액세스 토큰 관리"을(를) 참조하세요.
  • 다른 모든 비밀의 경우 먼저 GitHub Enterprise Server에 커밋된 비밀이 유효한지 확인합니다. 그렇다면 새 비밀을 만들고 이전 비밀을 사용하는 모든 서비스를 업데이트한 후 이전 비밀을 삭제합니다.

비밀 검사 경고에 대한 알림 구성

알림이 증분 검사 및 기록 검색에 대해 다릅니다.

증분 검색

새 비밀이 검색되면 GitHub Enterprise Server은 알림 기본 설정에 따라 리포지토리에 대한 보안 경고에 액세스할 수 있는 모든 사용자에게 알릴 수 있습니다. 사용자는 다음과 같습니다.

  • 리포지토리 관리자
  • 보안 관리자
  • 읽기/쓰기 권한이 있는 사용자 지정 역할의 사용자
  • 비밀이 유출된 리포지토리의 관리자인 경우 조직 소유자 및 엔터프라이즈 소유자

참고: 실수로 비밀을 커밋한 커밋 작성자는 알림 기본 설정에 관계없이 알림을 받습니다.

다음의 경우 이메일 알림을 받습니다.

  • 리포지토리를 보고 있습니다.
  • 리포지토리에서 "모든 활동" 또는 사용자 지정 "보안 경고"에 대한 알림을 사용하도록 설정했습니다.
  • 알림 설정에 있는 "구독"의 "시청 중"에서 이메일로 알림을 받도록 선택했습니다.

  1. GitHub Enterprise Server 인스턴스에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 시청을 시작하려면 Watch를 선택합니다.

    리포지토리의 기본 페이지 스크린샷입니다. "조사식"이라는 드롭다운 메뉴가 주황색 윤곽선으로 강조 표시됩니다.

  3. 드롭다운 메뉴에서 [모든 활동] 을 클릭합니다. 또는 보안 경고만 구독하려면 [사용자 지정] 을 클릭한 다음 [보안 경고] 를 클릭합니다.

  4. 개인 계정의 알림 설정으로 이동합니다. 이러한 항목은 사용할 수 있습니다https://github.com/settings/notifications.

  5. 알림 설정 페이지의 "구독"에서 "시청 중"에서 알림 드롭다운을 선택합니다.

  6. 알림 옵션으로 "전자 메일"을 선택한 다음 저장을 클릭합니다.

    사용자 계정에 대한 알림 설정의 스크린샷입니다. "구독"이라는 요소 헤더와 "시청 중"이라는 하위 헤더가 표시됩니다. "전자 메일"이라는 체크 상자가 주황색 윤곽선으로 강조 표시됩니다.

알림 기본 설정에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 보기 설정 구성"을 참조하세요.

기록 검색

기록 검색의 경우 GitHub Enterprise Server이(가) 다음 사용자에게 알립니다.

  • 조직 소유자, 엔터프라이즈 소유자 및 보안 관리자는 기록 검색이 완료될 때마다 비밀이 발견되지 않더라도 언제든지 사용할 수 있습니다.
  • 읽기/쓰기 액세스 권한이 있는 사용자 지정 역할의 리포지토리 관리자, 보안 관리자 및 사용자는 기록 검색에서 비밀을 검색할 때마다 알림 기본 설정에 따라 읽기/쓰기 권한을 가집니다.

커밋 작성자에게 알리지 않습니다.

알림 기본 설정에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 보기 설정 구성"을 참조하세요.

비밀 검색 경고에 대한 응답 감사

GitHub 도구를 사용하여 secret scanning 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "보안 경고 감사"을(를) 참조하세요.