확장 메타데이터 검사를 위한 시크릿 스캔 개선

Source: GitHub Changelog

GitHub secret scanning은 보안 구성에서 확장 메타데이터 검사를 지원하도록 추가되었습니다. 이 변경으로 확장 메타데이터 검사를 대규모로 활성화하는 것이 크게 쉬워졌습니다.

앞서 발표된 바와 같이, 유효성 검사가 활성화된 리포지토리는 이번 변경의 일환으로 자동으로 확장 메타데이터 검사가 활성화됩니다. 엔터프라이즈 또는 조직의 감사 로그를 모니터링하여 기능 활성화 상태를 추적할 수 있습니다.

확장 메타데이터 검사는 무엇인가요?

확장 메타데이터 검사를 사용하면 secret scanning 알림에 비밀 소유자, 비밀 생성 및 만료 날짜, 그리고 비밀 제공자에게서 정보를 얻을 수 있는 경우 프로젝트 또는 조직 컨텍스트와 같은 세부 정보가 표시됩니다. 이 기능은 비밀에 대한 추가 컨텍스트를 제공하도록 유효성 검사를 확장합니다.

예를 들어, 누출된 OpenAI 키에 대한 정보가 있는 경우 조직 정보와 함께 비밀 소유자의 이름, 이메일 및 식별자가 표시됩니다.

이 새로운 메타데이터 키는 기존 유효성 검사를 확장하여 보다 실행 가능한 컨텍스트를 제공함으로써 트리아지와 복구를 빠르게 수행하고, 개발 및 보안 팀이 노출을 신속히 평가하고 복구 우선순위를 정할 수 있게 합니다.

Note: 메타데이터의 가용성은 비밀 제공자, 토큰 유형, 경우에 따라 비밀 자체에 따라 달라집니다. GitHub은 가능한 모든 메타데이터를 표시하기 위해 최선을 다하지만, 모든 키가 항상 존재하는 것은 아닙니다.

무엇이 변경되나요?

확장 메타데이터 검사는 현재 유효성 검사가 활성화된 secret scanning을 사용하는 Enterprise Cloud 고객에게 제공됩니다. 이제 보안 구성을 통해 조직 및 엔터프라이즈 수준에서 이 기능을 켜거나 끌 수 있습니다. 보안 구성을 통해 유효성 검사가 활성화된 리포지토리는 이번 변경에 따라 자동으로 메타데이터 검사가 활성화됩니다.

secret scanning으로 리포지토리를 보호하는 방법 또는 피드백 공유를 통해 secret scanning 및 확장 메타데이터 검사에 대해 자세히 알아보세요.