유효성 검사

유효성 검사 및 확장된 메타데이터 검사는 즉각적인 보안 위험을 초래하는 노출된 자격 증명의 수정 우선 순위를 지정하는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

Secret scanning은 다음 리포지토리 유형에 사용할 수 있습니다.

  • 공용 리포지토리: Secret scanning은(는) 자동으로 무료로 실행됩니다.
  • 조직 소유 개인 및 내부 리포지토리: GitHub Secret Protection을 사용하면 GitHub Team 또는 GitHub Enterprise Cloud에서 활성화된 경우 이용할 수 있습니다.
  • 사용자 소유 리포지토리: GitHub Enterprise Cloud에서 Enterprise Managed Users를 사용할 수 있습니다. 엔터프라이즈에 GitHub Enterprise Server 기능이 활성화된 경우 GitHub Secret Protection에서 사용할 수 있습니다.

보안 위험 평가 실행

이 기사에서

유효성 검사 정보

secret scanning의 기능인 유효성 검사는 감지된 시크릿이 여전히 활성 상태이며 악용될 수 있는지 확인합니다. 이렇게 하면 활성으로 확인된 비밀에 먼저 집중하여 수정의 우선 순위를 지정할 수 있습니다.

검색된 비밀에 대해 자동 유효성 검사를 사용하도록 설정할 수 있습니다. 사용하도록 설정 GitHub 하면 발급자에 비밀을 보내고 해당 서비스에서 제공하는 API에 대해 테스트하여 검색된 자격 증명의 유효성을 주기적으로 확인합니다. 많은 서비스 제공업체의 시크릿에 대해 유효성 검사가 제공되며, GitHub가 추가 서비스와 협력함에 따라 지원 범위는 계속 확대되고 있습니다.

GitHub 는 자격 증명의 유효성을 확인할 때 개인 정보 보호 우선 순위를 지정합니다. 일반적으로 GET 요청을 수행하고, 가장 방해가 적은 엔드포인트를 선택하고, 개인 정보를 반환하지 않는 엔드포인트를 선택합니다.

GitHub 는 경고 보기에 비밀의 유효성 검사 상태를 표시하므로 비밀이 active있는지 또는 inactive유효성 검사 상태 unknown인지 확인할 수 있습니다. 필요에 따라 경고 보기에서 비밀에 대한 "주문형" 유효성 검사를 수행할 수 있습니다.

확장 메타데이터 검사에 대한 정보

참고

보안 구성의 확장 메타데이터 검사는 현재 공개 미리 보기로 제공되며 변경될 수 있습니다.

확장 메타데이터 검사는 검색된 비밀에 대한 추가 컨텍스트 정보를 제공합니다. 다른 도구에서는 분석기 라고도 합니다.

유효성 검사가 활성화되어 있는지 확장 메타데이터 검사를 사용하도록 설정할 수 있습니다. 그런 다음, 도움이 되는 정보를 얻을 수 있습니다.

  • 검색된 비밀에 대한 심층적인 인사이트 얻기: 누가 비밀을 소유하고 있는지 알아보세요.
  • 수정 우선 순위 지정: 노출된 각 비밀의 범위와 영향을 이해합니다.
  • 인시던트 대응 개선: 비밀이 유출될 때 책임 있는 팀 또는 개인을 신속하게 식별합니다.
  • 규정 준수 향상: 비밀이 조직의 거버넌스 및 보안 정책에 부합하는지 확인합니다.
  • 오탐 감소: 추가 컨텍스트를 사용하여 탐지가 조치가 필요한지 확인합니다.

사용 가능한 특정 메타데이터는 서비스 공급자가 공유하는 GitHub것에 따라 달라집니다. 모든 비밀 형식이 확장 메타데이터 검사를 지원하는 것은 아닙니다. 자세한 내용은 비밀 검사 경고 평가을(를) 참조하세요.

유효성 및 확장 메타데이터 검사 시작

리포지토리, 조직 또는 엔터프라이즈 수준에서 유효성 검사 및 확장 메타데이터 검사를 사용하도록 설정하여 노출되는 자격 증명이 가장 즉각적인 보안 위험을 초래하는 우선 순위를 지정할 수 있습니다.

대규모 조직의 경우 보안 구성을 사용하여 조직 또는 엔터프라이즈 수준에서 이러한 기능을 사용하도록 설정하는 것이 좋습니다. 보안 구성을 사용하면 중앙에서 설정을 관리하고 secret scanning 여러 리포지토리에서 일관되게 적용할 수 있습니다.

시작하려면: