보안 기능 정보 GitHub
GitHub'의 보안 기능은 리포지토리 및 조직 전체에서 코드와 비밀을 안전하게 유지하는 데 도움이 됩니다.
- 일부 기능은 모든 GitHub 계획에 사용할 수 있습니다.
- 조직 이 GitHub Team 및 GitHub Enterprise Cloud에서 제품GitHub Advanced Security을 구매하는 경우 추가 기능을 사용할 수 있습니다.
- 또한 다양한 GitHub Secret ProtectionGitHub Code Security 기능을 공용 리포지토리에서 무료로 실행할 수 있습니다.
모든 GitHub 플랜에 사용 가능
사용 중인 계획에 관계없이 GitHub 사용할 수 있는 보안 기능은 다음과 같습니다. 이러한 기능을 사용하기 위해 구매할 GitHub Secret Protection or GitHub Code Security 필요가 없습니다.
이러한 기능의 대부분은 공용 및 프라이빗 리포지토리에 사용할 수 있습니다. 일부 기능은 퍼블릭 리포지토리_에만_ 사용할 수 있습니다.
보안 정책
사용자가 리포지토리에 있는 보안 취약성을 기밀로 쉽게 보고할 수 있도록 합니다. 자세한 내용은 Adding a security policy to your repository(리포지토리에 보안 정책 추가)을(를) 참조하세요.
종속성 그래프
종속성 그래프를 사용하면 리포지토리가 의존하는 에코시스템 및 패키지와 리포지토리에 종속된 리포지토리 및 패키지를 탐색할 수 있습니다.
리포지토리의 인사이트 탭에서 종속성 그래프를 찾을 수 있습니다. 자세한 내용은 종속성 그래프 정보을(를) 참조하세요.
소프트웨어 자재 명세서 (SBOM)
리포지토리의 종속성 그래프를 SPDX 호환 SBOM(소프트웨어 제품 구성 정보)으로 내보낼 수 있습니다. 자세한 내용은 리포지토리에 대한 소프트웨어 자료 청구서 내보내기을(를) 참조하세요.
GitHub Advisory Database
여기에는 GitHub Advisory Database 보고, 검색하고, 필터링할 수 있는 보안 취약성의 큐레이팅된 목록이 포함되어 있습니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 탐색을(를) 참조하세요.
Dependabot alerts 및 보안 업데이트
보안 취약성이 포함된 것으로 알려진 종속성에 대한 경고를 보고 이러한 종속성을 업데이트하기 위해 끌어오기 요청을 자동으로 생성할지 여부를 선택합니다. 자세한 내용은 Dependabot 경고 정보 및 Dependabot 보안 업데이트 정보을(를) 참조하세요.
또한 GitHub에 의해 큐레이팅된 기본값 Dependabot 자동 심사 규칙을 사용하여 상당한 양의 오탐을 자동으로 필터링할 수도 있습니다.
Dependabot에서 제공하는 다양한 기능에 대한 개요 및 시작하는 방법에 대한 지침은 Dependabot 빠른 시작 가이드을(를) 참조하세요.
Dependabot malware alerts
GitHub.com
GitHub Enterprise Server 3.22 이상에서는 리포지토리에서 악의적인 종속성에 대한 경고를 볼 수 있습니다.
[AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts)을(를) 참조하세요.
Dependabot version updates
Dependabot을 사용하여 종속성을 최신 상태로 유지하기 위해 자동으로 끌어오기 요청을 생성합니다. 이렇게 하면 이전 버전의 종속성에 대한 노출을 줄이는 데 도움이 됩니다. 최신 버전을 사용하면 보안 취약성이 검색될 경우 패치를 더 쉽게 적용할 수 있으며, 취약한 종속성을 업그레이드하기 위한 Dependabot security updates 끌어오기 요청을 쉽게 발생시킬 수 있습니다. 사용자 설정을 통해 Dependabot version updates이 리포지토리에 쉽게 통합되도록 할 수도 있습니다. 자세한 내용은 [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates)을(를) 참조하세요.
보안 공지
퍼블릭 리포지토리의 코드에서 보안 취약성을 프라이빗으로 논의하고 해결합니다. 그런 다음 보안 공지를 게시하여 커뮤니티에 취약성을 알리고 커뮤니티 멤버가 업그레이드하도록 장려할 수 있습니다. 자세한 내용은 리포지토리 보안 공지 정보을(를) 참조하세요.
리포지토리 규칙 집합
분기와 태그에서 일관된 코드 표준, 보안, 규정 준수를 적용합니다. 자세한 내용은 규칙 세트에 대한 정보을(를) 참조하세요.
아티팩트 증명
빌드하는 소프트웨어에 대해 신뢰할 수 없는 출처와 무결성 보장을 만듭니다. 자세한 내용은 아티팩트 증명을 사용하여 빌드의 출처 설정을(를) 참조하세요.
참고
계획이 GitHub Free, GitHub Pro 또는 GitHub Team인 경우, 아티팩트 증명은 공용 리포지토리에서만 제공됩니다. 비공개 또는 내부 리포지토리에서 아티팩트 증명을 사용하려면 해당 요금제를 사용해야 GitHub Enterprise Cloud 합니다.
파트너에 대한 비밀 검사 경고
GitHub 공용 리포지토리 또는 공용 npm 패키지 GitHub 에서 유출된 비밀을 감지하면 관련 서비스 공급자에게 비밀이 손상될 수 있음을 알릴 수 있습니다. 지원하는 비밀 및 서비스 공급자에 대한 개요는 [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets)을(를) 참조하세요.
사용자에 대한 푸시 보호
사용자에 대한 푸시 보호는 리포지토리 자체가 secret scanning 사용하도록 설정되었는지 여부에 관계없이 실수로 공용 리포지토리에 비밀을 커밋하지 않도록 자동으로 보호합니다. 사용자에 대한 푸시 보호는 기본값이 ON이지만, 언제든 개인 계정 설정을 통해 이 기능을 사용 중지할 수 있습니다. 자세한 내용은 사용자에 대한 푸시 보호 관리을(를) 참조하세요.
다음과 함께 사용 가능 GitHub Secret Protection
계정 GitHub Team 및 GitHub Enterprise Cloud에서 GitHub Secret Protection 을(를) 구매하면 추가 보안 기능을 사용할 수 있습니다.
GitHub Secret Protection 에는 비밀 누수(예: secret scanning 푸시 보호)를 감지하고 방지하는 데 도움이 되는 기능이 포함되어 있습니다.
이러한 기능은 모든 리포지토리 유형에 사용할 수 있습니다. 이러한 기능 중 일부는 공용 리포지토리에 무료로 사용할 수 있습니다. 즉, 공용 리포지토리에서 기능을 사용하도록 설정하기 위해 구매할 GitHub Secret Protection 필요가 없습니다.
사용자에 대한 비밀 검사 경고
리포지토리에 체크 인된 토큰 또는 자격 증명을 자동으로 검색합니다. GitHub이 코드에서 발견한 비밀에 대한 경고를 리포지토리의 Security and quality 탭에서 확인할 수 있으며, 이를 통해 손상된 것으로 처리할 토큰이나 자격 증명을 알 수 있습니다. 자세한 내용은 비밀 검사 경고에 대해을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
Copilot 비밀 스캔
Copilot 비밀 스캔'의 일반 비밀 검색은 소스 코드에서 구조화되지 않은 비밀(암호)을 식별한 다음 경고를 생성하는 AI 기반 확장 secret scanning 입니다. 자세한 내용은 [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets)을(를) 참조하세요.
푸시 보호
푸시 보호는 푸시 프로세스 중에 코드와 리포지토리 기여자의 코드를 사전에 검사하고 비밀이 감지되면 푸시를 차단합니다. 기여자가 블록을 GitHub 바이패스하는 경우 경고를 만듭니다. 자세한 내용은 푸시 보호에 대해을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
푸시 보호를 위해 위임된 바이패스 사용
푸시 보호를 위해 위임된 바이패스를 사용하면 개인, 역할 및 팀을 제어할 수 있습니다.
- 푸시 보호를 무시할 수 있습니다.
- 푸시 보호에서 제외됩니다.
- 다른 기여자로부터의 바이패스 요청을 검토할 수 있습니다.
자세한 내용은 푸시 보호를 위한 위임 바이패스에 대해을(를) 참조하세요.
사용자 지정 패턴
사용자 지정 패턴을 정의함으로써, secret scanning의 기본 패턴으로 탐지되지 않는 비밀 정보, 예를 들어 조직 내부에서 사용하는 패턴, 을 식별할 수 있습니다. 자세한 내용은 비밀 검사를 위한 사용자 지정 패턴 정의을(를) 참조하세요.
보안 개요
보안 개요를 사용하면 조직의 전반적인 보안 환경을 검토하고, 추세 및 기타 인사이트를 보며, 보안 구성을 관리할 수 있으므로 조직의 보안 상태를 쉽게 모니터링하고 가장 큰 위험에 처한 리포지토리 및 조직을 식별할 수 있습니다. 자세한 내용은 보안 개요을(를) 참조하세요.
GitHub Code Security와 함께 사용 가능
계정이 GitHub Team와 GitHub Enterprise Cloud에 있는 경우, GitHub Code Security 을(를) 구매하면 추가 보안 기능을 이용할 수 있습니다.
GitHub Code Security 에는 취약성(예: code scanning프리미엄 Dependabot 기능 및 종속성 검토)을 찾고 수정하는 데 도움이 되는 기능이 포함되어 있습니다.
이러한 기능은 모든 리포지토리 유형에 사용할 수 있습니다. 이러한 기능 중 일부는 공용 리포지토리에 무료로 사용할 수 있습니다. 즉, 공용 리포지토리에서 기능을 사용하도록 설정하기 위해 구매할 GitHub Code Security 필요가 없습니다.
Code scanning
새 코드 또는 수정된 코드에서 보안 취약성 및 코딩 오류를 자동으로 검색합니다. 잠재적인 문제가 세부 정보와 함께 강조 표시되어 기본 분기에 병합되기 전에 코드를 수정할 수 있습니다. 자세한 내용은 코드 검사 정보을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
CodeQL CLI
소프트웨어 프로젝트에서 프로세스를 로컬에서 실행CodeQL하고, code scanning을 업로드하기 위해 결과를 작성합니다GitHub. 자세한 내용은 CodeQL CLI에 대해을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
Copilot 자동 수정
code scanning 경고에 대해 자동으로 생성된 수정 사항을 가져옵니다. 자세한 내용은 [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning)을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
사용자 지정 자동 심사 규칙에 대한 Dependabot
Dependabot alerts을(를) 대규모로 관리하는 데 도움이 됩니다. 사용자 지정 자동 심사 규칙을(를) 이용하면 무시하거나 다시 알릴 알림을 제어할 수 있고, 아니면 Dependabot 보안 업데이트를 트리거할 수 있습니다. 자세한 내용은 Dependabot 경고 정보 및 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.
종속성 검토
종속성에 대한 변경 내용의 전체 영향을 표시하고 끌어오기 요청을 병합하기 전에 취약한 버전의 세부 정보를 확인합니다. 자세한 내용은 종속성 검토 정보을(를) 참조하세요.
기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.
보안 캠페인
보안 캠페인을 만들고 개발자와 공동 작업하여 보안 백로그를 소진함으로써 대규모 보안 경고를 수정할 수 있습니다. 자세한 내용은 보안 캠페인 정보을(를) 참조하세요.
보안 개요
보안 개요를 사용하면 조직의 전반적인 보안 환경을 검토하고, 추세 및 기타 인사이트를 보며, 보안 구성을 관리할 수 있으므로 조직의 보안 상태를 쉽게 모니터링하고 가장 큰 위험에 처한 리포지토리 및 조직을 식별할 수 있습니다. 자세한 내용은 보안 개요을(를) 참조하세요.
추가 참고 자료
-
[AUTOTITLE](/get-started/learning-about-github/githubs-plans) -
[AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security) -
[AUTOTITLE](/get-started/learning-about-github/github-language-support)