Secret scanning 업데이트 — 2025년 11월
Source: GitHub Changelog
GitHub Secret Scanning은 11월 동안 수많은 새로운 비밀 유형을 지원하도록 추가되었으며, 여러 탐지 및 검증 개선이 이루어졌습니다.
- 새 공급자 패턴 – Azure, Databricks, Microsoft, Paddle, PostHog 등과 같은 공급자에서 24개의 새로운 비밀 유형이 추가되었습니다.
- 개선된 개인 키 탐지 – 타원곡선(Elliptic Curve) 및 일반 PKCS#8 개인 키에 대한 패턴이 추가되었으며, 이스케이프된 개행 문자(
\n) 처리도 향상되었습니다. - 확장된 메타데이터 – Discord
discord_bot_token에 이제 확장 메타데이터 검사가 포함됩니다. - 유효성 검사 – AWS Access Key ID 검증이 정교해졌습니다.
- 비공개 Gist – 비공개 GitHub Gist에 포함된 비밀이 이제 Secret Scanning 파트너에게 보고됩니다.
새 패턴 추가
Secret scanning은 저장소에서 이러한 패턴과 일치하는 모든 비밀을 자동으로 감지합니다.
| 공급자 | 비밀 유형 | 파트너 | 사용자 | 푸시 보호 |
|---|---|---|---|---|
| Azure | azure_immersive_reader_key | ✓ | ✓ | ✓ (구성 가능) |
| Azure | azure_logic_apps_url | ✓ | ✓ | ✓ (구성 가능) |
| crates.io | cratesio_api_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_account_session_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_federated_account_session_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_oauth_code | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_oauth_refresh_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_oauth_secret_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_oauth_single_use_refresh_token_child | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_oauth_single_use_refresh_token_parent | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_scoped_api_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_scoped_internal_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_token | ✓ | ✓ | ✓ (구성 가능) |
| Databricks | databricks_workspace_session_token | ✓ | ✓ | ✓ (구성 가능) |
| Microsoft | power_automate_webhook_sas | ✓ | ✓ | ✓ (구성 가능) |
| OneSignal | onesignal_rich_authentication_token | ✓ | ✓ | ✓ (구성 가능) |
| Paddle | paddle_api_key | ✓ | ✓ | ✓ (구성 가능) |
| Paddle | paddle_sandbox_api_key | ✓ | ✓ | ✓ (구성 가능) |
| Pineapple Technologies Limited | pineapple_technologies_incident_api_key | ✓ | ✓ | ✓ (구성 가능) |
| PostHog | posthog_feature_flags_secure_api_key | ✓ | ✓ (구성 가능) | |
| PostHog | posthog_personal_api_key | ✓ | ✓ (구성 가능) | |
| Rainforest Pay | rainforest_api_key | ✓ | ✓ | ✓ (구성 가능) |
| Rainforest Pay | rainforest_sandbox_api_key | ✓ | ✓ | ✓ (구성 가능) |
| Raycast | raycast_access_token | ✓ | ✓ | ✓ (구성 가능) |
개인 키 패턴 추가
11월 12일에 발표된 바와 같이, Secret Scanning은 이제 추가적인 개인 키 형식을 탐지합니다:
| 공급자 | 비밀 유형 | 설명 |
|---|---|---|
| Generic | ec_private_key | 타원곡선 개인 키 |
| Generic | generic_private_key | 일반 PKCS#8 개인 키 |
두 유형 모두 푸시 보호에 사용할 수 있지만 기본적으로는 포함되지 않습니다.
탐지기 업그레이드 및 개선
-
다음 개인 키 패턴은 이제 이스케이프된 개행(
\n)이 포함된 키도 탐지합니다(구성 파일 및 환경 변수에서 흔히 사용됨):ec_private_key,github_ssh_private_key,openssh_private_key,rsa_private_key. -
Sentry 토큰 이름 변경 – 토큰 유형이 Sentry의 최신 명명 규칙에 맞게 변경되었습니다:
이전 이름 새 이름 sentry_organization_tokensentry_org_auth_tokensentry_personal_tokensentry_user_auth_token -
확장 메타데이터 검사 – Discord
discord_bot_token비밀 유형이 이제 소유자 정보, 생성 날짜, 조직 세부 정보와 같은 추가 메타데이터 검사를 지원합니다. -
유효성 검사 개선 – AWS Access Key ID 검증이 향상되어 대부분의 고객이 이전에 “알 수 없음”으로 표시되던 경고가 “유효” 또는 “무효”로 전환됩니다.
공급자 패턴 유효성 Amazon Web Services (AWS) aws_access_key_id✓
파트너 알림 업데이트
11월 25일에 발표된 바와 같이, 비공개 GitHub Gist에서 발견된 비밀이 이제 Secret Scanning 파트너에게 보고됩니다. 비공개 Gist는 URL만 알고 있으면 누구나 접근할 수 있으므로, Gist에 유출된 비밀은 다른 공개 노출 자격 증명과 동일하게 취급해야 합니다.
Secret scanning에 대해 자세히 알아보고, 제품 문서에서 지원되는 비밀 전체 목록을 확인하세요.