GitHub Apps에 대한 ‘act on your behalf’ 경고를 선택적으로 표시하는 기능이 공개 프리뷰 단계에 있습니다

Source: GitHub Changelog

동의 페이지 업데이트

오늘 우리는 GitHub Apps를 단순히 로그인 수단으로만 사용할 때 덜 위협적으로 보이도록 동의 페이지를 업데이트했습니다. 사용자가 앱을 승인할지 여부를 결정하는 GitHub Apps용 동의 페이지는 이제 앱이 사용자 대신 리소스에 접근하거나 쓰기 작업을 수행할 경우에만 “사용자를 대신해 작업” 메모를 표시합니다.

많은 GitHub Apps는 로그인 서비스로서만 사용자를 인증합니다. 이들은 실제로 GitHub의 데이터를 접근하지 않으며, 단지 계정 시스템의 기반이 되는 사용자를 식별할 필요가 있습니다. 우리는 전체 애플리케이션 승인 중 약 50 %가 이와 같은 형태이며, 사용자 프로필 데이터를 읽는 권한만 요청한다는 것을 발견했습니다. 이러한 경우, 사용자는 앱이 사용자 대신 작업할 수 있다는 경고와 함께 앱이 활용할 수 있는 권한 목록을 보게 되었습니다. 앱이 단순히 사용자의 프로필을 읽는 것만 요청할 때는 “그 외에 어떤 작업을 할 수 있나요?”라는 혼란이 생겼고, 이로 인해 지원 티켓이 발생했으며 사용자는 보안 위험으로 인식해 로그인을 포기하기도 했습니다.

이번 변경으로 앱이 사용자 계정 자체에 대해 읽기 권한만 요청하는 경우 동의 페이지에서 “사용자를 대신해 작업” 메모가 제거됩니다. 앱이 저장소, 조직, 또는 엔터프라이즈 권한(읽기든 쓰기든)을 요청하면 메모는 여전히 표시됩니다. 이를 통해 애플리케이션은 사용자를 로그인시키고 프로필 정보와 이메일 주소(요청 시)를 과도한 경고 없이 얻을 수 있습니다.

변경 전

변경 후

의견이나 댓글이 있으면 언제든지 우리 커뮤니티 토론에 남겨 주세요.