GitHub Advanced Security에 대한 액세스 관리

완료됨

이전 단원에서는 엔터프라이즈 계획에 따라 GitHub Advanced Security를 사용하도록 설정하는 방법을 알아보았습니다.

이 단원에서는 프로젝트에 대해 GitHub Advanced Security를 구성하는 방법을 안내합니다. 보안 경고에 대한 액세스를 관리하고 조직 및 리포지토리 수준에서 보안 정책을 설정하는 방법을 설명합니다.

보안 경고에 대한 액세스 관리

프로젝트에 대해 GitHub Advanced Security를 설정할 때 조직의 적절한 사용자가 경고를 보고 해결할 수 있는지 확인하려고 합니다. 이러한 경고를 보는 데 필요한 역할 및 권한은 경고 유형에 따라 달라집니다.

이 표에서는 리포지토리의 보안 탭에서 각 유형의 경고를 보는 데 필요한 최소 역할 및 권한을 보여 줍니다.

보안 경고 유형 필요한 역할 및 권한
코드 검사 경고 리포지토리에 대한 쓰기 권한
코드 검사 경고 리포지토리 관리자 및 조직 소유자
Dependabot 경고 리포지토리 관리자 및 조직 소유자

또한 리포지토리 관리자 및 조직 소유자는 리포지토리 보안 및 분석 설정에서 리포지토리에 대한 쓰기 권한이 있는 사용자 및 팀에 비밀 검사 및 Dependabot 경고 액세스를 제공할 수 있습니다.

올바른 역할 및 권한 집합을 사용하면 보안 워크플로에 관련된 개발자가 다음 작업을 수행할 수 있습니다.

  • 코드 검색 경고의 경우: 코드 수정을 커밋하거나, 작업이 필요하지 않은 경고를 해제하거나, 경고를 삭제하여 코드 검색 결과를 정리합니다.
  • 비밀 검색 경고의 경우: 검색된 비밀을 삭제하거나, 새 토큰을 만들고, 검색된 비밀을 사용하는 코드를 업데이트하거나, 작업이 필요하지 않은 경고를 해제합니다.
  • Dependabot 경고의 경우: 취약한 종속성을 업데이트하거나 작업이 필요하지 않은 경고를 해제합니다.

조직 수준에서 보안 정책 설정

조직의 모든 사용자가 GitHub Advanced Security를 사용하고 있는지 확인하는 좋은 방법은 조직 수준에서 보안 정책을 설정하는 것입니다. 예를 들어 조직의 모든 리포지토리 관리자가 해당 리포지토리에 고급 보안 기능을 사용하도록 설정하는 정책을 설정할 수 있습니다.

엔터프라이즈 계정이 소유한 모든 조직 또는 선택한 개별 조직에 대해 정책을 구성할 수 있습니다.

다음 단계에 따라 조직 수준에서 보안 정책을 설정합니다.

  1. 엔터프라이즈 사이드바에서 정책 > 고급 보안으로 이동합니다.

  2. GitHub Advanced Security에서 드롭다운 메뉴를 선택하고 엔터프라이즈가 소유한 조직에 대한 정책을 선택합니다.

    보안 정책 드롭다운의 스크린샷

  3. 선택적으로 조직의 오른쪽 에 있는 선택한 조직에 대해 허용 을 선택한 경우 드롭다운 메뉴를 선택하여 조직에 대한 고급 보안을 허용하거나 허용하지 않습니다. 조직에 대한 고급 보안을 허용하지 않으면 리포지토리 관리자가 다른 리포지토리에 대해 고급 보안 기능을 사용하도록 설정할 수 없지만 기능이 이미 사용하도록 설정된 리포지토리의 기능을 사용하지 않도록 설정하지는 않습니다.

    개별 조직 보안 정책 드롭다운의 스크린샷

비고

GitHub는 조직 수준에서 정책을 설정할 때 커밋 단위로 Advanced Security를 청구합니다.

리포지토리 수준에서 보안 정책 설정

GitHub 프로젝트를 설정할 때도 프로젝트의 보안 취약성을 보고하는 방법을 문서화하는 것이 중요합니다. 이렇게 하려면 프로젝트 리포지토리의 루트 SECURITY.md 또는 docs 또는 .github 폴더에 파일을 추가할 수 있습니다. 그런 다음 리포지토리에서 문제를 만들면 프로젝트의 보안 정책에 대한 링크가 표시됩니다.

누군가가 프로젝트에서 보안 취약성을 보고한 후 GitHub Security Advisories를 사용하여 취약성에 대한 정보를 공개, 수정 및 게시할 수 있습니다.

리포지토리 수준에서 보안 정책을 설정하려면 다음 단계를 수행합니다.

  1. 리포지토리에서 보안 > 보안 정책으로 이동합니다.
  2. 설치 시작을 선택합니다.
  3. SECURITY.md 파일에서 지원되는 프로젝트 버전 및 취약성을 보고하는 방법에 대한 정보를 추가합니다.
  4. 변경 내용을 리포지토리에 커밋합니다.