API 키 및 암호와 같은 자격 증명이 리포지토리에 커밋되면 권한 없는 액세스의 대상이 됩니다. Secret scanning은(는) 비밀 누출을 자동으로 탐지하여, 악용되기 전에 이를 예방할 수 있습니다.
팁
언제든지 유출된 비밀에 대한 조직의 코드에 대한 무료 평가를 실행할 수 있습니다.
보고서를 생성하려면 조직의 보안 탭에 평가 페이지를 표시한 다음, 조직 검사를 클릭합니다.를 엽니다.
시크릿 스캐닝이 코드를 보호하는 방법
Secret scanning은(는) 리포지토리의 모든 분기에서 전체 Git 기록을 검사하여 API 키, 암호, 토큰 및 기타 알려진 비밀 유형을 검색합니다. GitHub 또한 새 비밀 형식이 추가되면 정기적으로 리포지토리를 다시 검사합니다.
GitHub도 자동으로 검색합니다.
- 문제의 설명 및 댓글
- 열림 및 닫힘 히스토리컬 문제에서 제목, 설명 및 주석
- 끌어오기 요청의 제목, 설명 및 댓글
- GitHub Discussions의 제목, 설명 및 댓글
- 위키
- 비밀 요점
Secret scanning 경고 및 수정
secret scanning에서 잠재적인 비밀을 찾으면 GitHub에서 노출된 자격 증명에 대한 세부 정보가 포함된 리포지토리의 보안 탭에 경고를 생성합니다.
경고를 검토하고 영향을 받는 자격 증명을 즉시 회전하여 더 이상 사용할 수 없도록 합니다. Git 기록에서 비밀을 제거할 수도 있지만, 이미 자격 증명을 해지한 경우 시간이 많이 소요되고 불필요한 경우가 많습니다.
커스터마이즈 가능성
파트너 및 공급자 비밀의 기본 검색 외에도 요구 사항에 맞게 secret scanning를 확장하고 사용자 지정할 수 있습니다.
-
**비공급자 패턴.** 프라이빗 키, 연결 문자열 및 일반 API 키와 같이 특정 서비스 공급자에 연결되지 않은 비밀로 검색을 확장합니다. -
**사용자 지정 패턴.** 사용자 고유의 정규식을 정의하여 기본 패턴에서 다루지 않는 조직별 비밀을 검색합니다. -
**유효성 검사.** 검색된 비밀이 여전히 활성 상태인지 확인하여 수정의 우선 순위를 지정합니다. -
**Copilot 비밀 스캔.** AI를 사용하여 암호와 같은 구조화되지 않은 비밀을 검색하거나 사용자 지정 패턴에 대한 정규식을 생성합니다.
이 기능에 액세스하려면 어떻게 해야 하나요?
Secret scanning은 다음 리포지토리 유형에 사용할 수 있습니다.
-
**공용 리포지토리**: Secret scanning은(는) 자동으로 무료로 실행됩니다. -
**조직 소유 개인 및 내부 리포지토리**: [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security)을 사용하면 GitHub Team 또는 GitHub Enterprise Cloud에서 활성화된 경우 이용할 수 있습니다. -
**사용자 소유 리포지토리**: GitHub Enterprise Cloud에서 Enterprise Managed Users를 사용할 수 있습니다. 엔터프라이즈에 GitHub Secret Protection 기능이 활성화된 경우 [GitHub Enterprise Server](/get-started/learning-about-github/about-github-advanced-security)에서 사용할 수 있습니다.
다음 단계:
-
**경고를 받은 경우**[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) 을 참조하여 노출된 비밀을 검토, 해결 및 수정하는 방법을 알아봅니다. -
**조직을 보호하는 경우**[AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) 을 참조하여 유출된 비밀에 대한 조직의 노출을 확인합니다.
추가 읽기
- 지원되는 비밀 및 서비스 공급자의 전체 목록은 지원되는 비밀 검사 패턴을 참조하세요.