경고 평가 정보
경고의 우선순위를 더 잘 정하고 관리할 수 있도록, 경고를 평가하는 데 도움이 되는 몇 가지 추가 기능이 있습니다. 당신은 할 수 있어요:
- 비밀이 아직 활성 상태인지 확인하기 위해 비밀의 유효성을 확인합니다. GitHub 토큰에만 적용. 비밀의 유효성 확인을 참조하세요.
- 가장 최신의 검증 상태를 얻기 위해 "온디맨드" 유효성 검사를 수행합니다. 주문형 유효성 검사 수행을 참조하세요.
- 토큰의 메타데이터를 검토합니다. GitHub 토큰에만 적용. 예를 들어 토큰이 마지막으로 사용된 시점을 확인할 수 있습니다. GitHub 토큰 메타데이터 검토를 참조하세요.
- 노출된 비밀에 대한 확장 메타데이터 검사를 검토하여 비밀을 소유한 사람 및 비밀 소유자에게 연락하는 방법과 같은 세부 정보를 확인합니다. OpenAI API, Google OAuth 및 Slack 토큰에만 적용됩니다. 토큰의 확장 메타데이터 검토를 참조하세요.
- 경고에 할당된 레이블을 검토합니다. 자세한 내용은 경고 레이블 검토를 참조하세요.
비밀의 유효성 확인
유효성 검사는 어떤 비밀이 active 또는 inactive인지 알려 주어 경고 우선순위를 정하는 데 도움이 됩니다. active 비밀은 여전히 악용될 수 있는 비밀이므로, 이러한 경고는 우선적으로 검토하고 수정해야 합니다.
기본적으로 GitHub은(는) GitHub 토큰의 유효성을 확인하고, 경고 보기에서 토큰의 검증 상태를 표시합니다.
GitHub Team 또는 GitHub Enterprise Cloud을(를) 사용하면서 GitHub Secret Protection 라이선스를 보유한 조직은 파트너 패턴에 대한 유효성 검사도 활성화할 수 있습니다. 자세한 내용은 비밀의 유효성 확인을 참조하세요.
| 유효성 검사 | 상태 | 결과 |
|---|---|---|
| 활성 비밀 | active | GitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다. |
| 활성 비밀일 수 있음 | unknown | GitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다. |
| 활성 비밀일 수 있음 | unknown | GitHub은(는) 이 비밀을 확인할 수 없습니다. |
| 비활성 상태의 비밀 | inactive | 무단 액세스가 아직 발생하지 않았는지 확인해야 합니다. |
파트너 패턴의 유효성 검사는 다음 리포지토리 유형에서 사용할 수 있습니다.
-
[GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security)이 활성화된 GitHub Team 또는 GitHub Enterprise Cloud의 조직 소유 리포지토리
파트너 패턴의 유효성 확인은 데이터 보존 기능을 갖춘 GitHub Enterprise Cloud에서 GHE.com에 대해 제공되지 않습니다.
파트너 패턴에 대해 유효성 검사를 활성화하는 방법은 리포지토리에 대한 유효성 검사 사용을(를) 참조하고, 현재 지원되는 파트너 패턴에 대한 정보는 지원되는 비밀 검사 패턴을(를) 참조하세요.
REST API를 사용하여 각 토큰의 최신 검증 상태 목록을 가져올 수 있습니다. 자세한 내용은 REST API 설명서에서 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요. 웹후크를 사용하여 secret scanning 경고와 관련된 활동 알림을 받을 수도 있습니다. 자세한 내용은 웹후크 이벤트 및 페이로드의 secret_scanning_alert 이벤트를 참조하세요.
GitHub Copilot 채팅에 secret scanning 경고 질문하기
GitHub Copilot Enterprise 라이선스가 있으면, 조직의 리포지토리에서 secret scanning 경고를 포함한 보안 경고를 더 잘 이해할 수 있도록 부조종사 채팅에 도움을 요청할 수 있습니다. 자세한 내용은 GitHub에서 GitHub Copilot에 질문하기을(를) 참조하세요.
온디맨드 유효성 검사 수행
리포지토리에 대해 파트너 패턴 유효성 검사를 활성화했다면, 경고 보기에서 비밀 확인을 클릭하여 지원되는 모든 비밀에 대해 "온디맨드" 유효성 검사를 수행할 수 있습니다. GitHub은(는) 해당 패턴을 관련 파트너에게 전송하고, 경고 보기에서 비밀의 검증 상태를 표시합니다.
GitHub 토큰 메타데이터 검토
참고 항목
GitHub 토큰의 메타데이터는 현재 공개 미리 보기 상태이며 변경될 수 있습니다.
활성 상태인 GitHub 토큰 경고 보기에서 토큰에 대한 특정 메타데이터를 검토할 수 있습니다. 이 메타데이터는 토큰을 식별하고 어떤 수정 단계를 수행할지 결정하는 데 도움이 될 수 있습니다.
personal access token 및 기타 자격 증명과 같은 토큰은 개인 정보로 간주됩니다. GitHub 토큰 사용에 대한 자세한 내용은 GitHub 개인정보처리방침 및 허용되는 사용 정책을 참조하세요.
GitHub 토큰 메타데이터는 비밀 검사가 활성화된 모든 리포지토리의 활성 토큰에 대해 사용할 수 있습니다. 토큰이 폐기되었거나 상태를 검증할 수 없으면 메타데이터를 사용할 수 없습니다. GitHub은(는) 공개 리포지토리에서 GitHub 토큰을 자동으로 폐기하므로, 공개 리포지토리의 GitHub 토큰에 대한 메타데이터는 제공되지 않을 가능성이 높습니다. 활성 상태인 GitHub 토큰에 대해 다음 메타데이터를 사용할 수 있습니다:
| 메타데이터 | Description |
|---|---|
| 비밀 이름 | 생성자가 GitHub 토큰에 지정한 이름 |
| 비밀 소유자 | 토큰 소유자의 GitHub 핸들 |
| 생성 일자 | 토큰이 생성된 날짜 |
| 만료된 날짜 | 토큰이 만료된 날짜 |
| 마지막 사용 날짜 | 토큰이 마지막으로 사용된 날짜 |
| Access | 토큰에 조직 액세스가 있는지 여부 |
유출된 비밀을 포함하는 리포지토리에 대한 관리자 권한이 있는 사용자만 경고에 대한 보안 경고 세부 정보 및 토큰 메타데이터를 볼 수 있습니다. 엔터프라이즈 소유자는 이 목적을 위해 리포지토리에 대한 임시 액세스를 요청할 수 있습니다. 액세스가 부여되면 GitHub에서 유출된 비밀이 포함된 리포지토리의 소유자에게 알리고, 리포지토리 소유자 및 엔터프라이즈 감사 로그에 해당 작업을 기록하며, 2시간 동안 액세스를 활성화합니다. 자세한 내용은 엔터프라이즈에서 사용자 소유 리포지토리 액세스을(를) 참조하세요.
토큰에 대한 확장 메타데이터 검토
참고 항목
토큰에 대한 확장 메타데이터 검사는 공개 미리 보기로 제공되며 변경될 수 있습니다.
활성 상태인 GitHub 토큰 경고 보기에서 소유자 및 연락처 세부 정보와 같은 확장 메타데이터 정보를 확인할 수 있습니다.
다음 표에는 사용 가능한 모든 메타데이터가 나와 있습니다. 메타데이터 검사는 현재 OpenAI API, Google OAuth 및 Slack 토큰으로 제한되며 각 토큰에 대해 표시된 메타데이터는 존재하는 항목의 하위 집합만 나타낼 수 있습니다.
| 메타데이터 형식 | Description |
|---|---|
| 담당자 ID | 비밀을 소유한 사용자 또는 서비스 계정에 대한 공급자의 고유 식별자 |
| 소유자 이름 | 사람이 읽을 수 있는 사용자 이름 또는 비밀 소유자의 표시 이름 |
| 소유자 이메일 | 소유자와 연결된 전자 메일 주소 |
| 조직 이름 | 비밀이 속한 조직/작업 영역/프로젝트의 이름 |
| 조직 ID | 해당 조직에 대한 공급자의 고유 식별자 |
| 비밀 발급 날짜 | 비밀(토큰 또는 키)이 생성되었거나 가장 최근에 발급된 타임스탬프 |
| 비밀 만료 날짜 | 비밀이 만료되도록 예약된 타임스탬프 |
| 비밀 이름 | 사람이 지정한 비밀의 표시 이름 또는 레이블 |
| 비밀 ID | 비밀에 대한 공급자의 고유 식별자 |
경고 레이블 검토
경고 보기에서 경고에 할당된 레이블을 검토할 수 있습니다. 레이블은 경고에 대한 추가 세부 정보를 제공하며, 이는 수정 접근 방식을 결정하는 데 도움이 될 수 있습니다.
Secret scanning 경고에는 다음 레이블을 할당할 수 있습니다. 할당된 레이블에 따라 경고 보기에서 추가 정보를 확인할 수 있습니다.
| 라벨 | Description | 경고 보기 정보 |
|---|---|---|
public leak | 리포지토리에서 감지된 비밀은 코드, 토론, gist, 이슈, 끌어오기 요청, 위키에 대한 GitHub의 검사 중 적어도 하나에서 공개적으로 유출된 것으로도 발견되었습니다. 이 경우, 비공개로 노출된 토큰에 비해 더 긴급하게 경고를 처리하거나 다른 방식으로 경고를 수정해야 할 수 있습니다. | 유출된 비밀이 감지된 특정 공개 위치에 대한 링크가 표시됩니다. |
multi-repo | 리포지토리에서 감지된 비밀이 조직 또는 기업의 여러 리포지토리에서 발견되었습니다. 이 정보는 조직 또는 기업 전체에서 경고를 더 쉽게 중복 제거하는 데 도움이 될 수 있습니다. | 적절한 권한이 있으면, 조직 또는 기업에서 동일한 비밀에 대한 특정 경고로 연결되는 링크가 표시됩니다. |
다음 단계
-
[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)