유효성 검사 정보
secret scanning의 기능인 유효성 확인을 통해 탐지된 비밀 정보가 여전히 활성화되어 있고 악용 가능성이 있는지 검증합니다. 이렇게 하면 활성으로 확인된 비밀에 먼저 집중하여 수정의 우선 순위를 지정할 수 있습니다.
검색된 비밀에 대해 자동 유효성 검사를 사용하도록 설정할 수 있습니다. 사용하도록 설정하면 GitHub은(는) 발급자에 비밀을 보내고 해당 서비스에서 제공하는 API에 대해 테스트하여 검색된 자격 증명의 유효성을 주기적으로 확인합니다. 많은 서비스 제공자의 비밀에 대한 유효성 검사를 이용할 수 있으며, GitHub이(가) 추가 서비스와 협력함에 따라 지원 범위가 계속 확장되고 있습니다.
GitHub 자격 증명의 유효성을 확인할 때 개인 정보 보호 우선 순위를 지정합니다. 일반적으로 GET 요청을 수행하고, 가장 방해가 적은 엔드포인트를 선택하고, 개인 정보를 반환하지 않는 엔드포인트를 선택합니다.
GitHub은(는) 경고 보기에 비밀의 유효성 검사 상태를 표시하므로 비밀이 active있는지 또는 inactive유효성 검사 상태 unknown인지 확인할 수 있습니다. 필요에 따라 경고 보기에서 비밀에 대한 "주문형" 유효성 검사를 수행할 수 있습니다.
확장 메타데이터 검사에 대한 정보
참고 항목
보안 구성의 확장 메타데이터 검사는 현재 공개 미리 보기로 제공되며 변경될 수 있습니다.
확장 메타데이터 검사는 검색된 비밀에 대한 추가 컨텍스트 정보를 제공합니다. 다른 도구에서는 분석기 라고도 합니다.
유효성 검사가 활성화되어 있는지 확장 메타데이터 검사를 사용하도록 설정할 수 있습니다. 그런 다음, 도움이 되는 정보를 얻을 수 있습니다.
-
**검색된 비밀에 대한 심층적인 인사이트 얻기**: 누가 비밀을 소유하고 있는지 알아보세요. -
**수정 우선 순위 지정**: 노출된 각 비밀의 범위와 영향을 이해합니다. -
**인시던트 대응 개선**: 비밀이 유출될 때 책임 있는 팀 또는 개인을 신속하게 식별합니다. -
**규정 준수 향상**: 비밀이 조직의 거버넌스 및 보안 정책에 부합하는지 확인합니다. -
**오탐 감소**: 추가 컨텍스트를 사용하여 탐지가 조치가 필요한지 확인합니다.
사용 가능한 특정 메타데이터는 서비스 공급자가 GitHub와 공유하는 내용에 따라 달라집니다. 모든 비밀 형식이 확장 메타데이터 검사를 지원하는 것은 아닙니다. 자세한 내용은 비밀 검사 경고 평가을(를) 참조하세요.
유효성 및 확장 메타데이터 검사 시작
참고 항목
2026년 2월 18일부터 GitHub는 유효성 검사가 사용하도록 설정된 리포지토리에 대한 확장 메타데이터 검사를 자동으로 사용하도록 설정합니다. 보안 구성으로 관리되는 리포지토리의 경우 GitHub에서 해당 구성을 업데이트하고 연결된 리포지토리에 기능을 적용합니다. 이는 조직이 수동 구성 없이 향상된 메타데이터를 활용할 수 있도록 하는 일회성 전환입니다.
리포지토리, 조직 또는 엔터프라이즈 수준에서 유효성 검사 및 확장 메타데이터 검사를 사용하도록 설정하여 노출되는 자격 증명이 가장 즉각적인 보안 위험을 초래하는 우선 순위를 지정할 수 있습니다.
대규모 조직의 경우 보안 구성을 사용하여 조직 또는 엔터프라이즈 수준에서 이러한 기능을 사용하도록 설정하는 것이 좋습니다. 보안 구성을 사용하면 secret scanning 설정을 중앙에서 관리하고 여러 리포지토리에서 일관되게 적용할 수 있습니다.
시작하기:
- 리포지토리의 경우 리포지토리에 대한 유효성 검사 사용을 참조하세요.
- 조직의 경우 사용자 정의 보안 구성 생성하기을 참조하세요.
- 엔터프라이즈의 경우 기업을 위한 맞춤형 보안 구성 만들기을 참조하세요.