GitHub 비밀 보호의 영향 평가

조직 전체에서 비밀 노출을 줄이는 방법을 GitHub Secret Protection 측정하여 가치를 입증하고 영역을 식별하여 보안 태세를 강화할 수 있습니다.

이 기사에서

소개

조직에 대해 GHSP 사용을 설정한 후, 그 영향을 평가하고 그것이 조직을 어떻게 보호하는지 이해해야 합니다. 이 자습서에서는 비밀 관련 데이터에 액세스하고 결과를 해석하여 GHSP 성능을 측정하는 방법을 안내합니다.

이 자습서에서는 다음 방법을 알아봅니다.

  • 조직의 보안 개요에 액세스하여 데이터 보기 secret scanning
  • secret risk assessment (SRA) 보고서를 검토하세요.
  • 데이터를 비교 및 분석하여 GHSP의 영향 평가

GHSP 출시 이전의 역사적인 SRA 보고서가 없는 경우에도 GHSP의 효과를 평가할 수 있습니다. 4단계: 보안 개요 데이터 추세 분석으로 건너뜁니다.

사전 요구 사항

  • 조직 소유자 또는 보안 관리자 역할이 있어야 합니다.
  • Secret Protection 은 조직에서 활성화되어야 합니다.

1단계: 조직 수준 보안 개요 액세스

보안 개요는 조직 전체에 대한 비밀 검사 경고 실시간 데이터를 제공합니다.

  1. GitHub에서 조직의 기본 페이지로 이동합니다.
  2. 조직 이름 아래에서 탭을 Security 클릭합니다.
  3. 보안 개요 페이지에서 위험 탭을 클릭하여 비밀 검사 데이터를 봅니다. 개요는 다음을 보여줍니다.
    • 총 열림 수 비밀 검사 경고
    • 시간에 따른 경고 추세
    • 리포지토리별 분석
    • 경고 심각도 분포

2단계: secret risk assessment 보고서 보기

이전에 SRA 보고서를 실행한 경우 보고서에 액세스하여 기준을 설정할 수 있습니다.

  1. GitHub에서 조직의 기본 페이지로 이동합니다.
  2. 조직 이름 아래에서 탭을 Security 클릭합니다.
  3. 사이드바의 "보안"에서 평가를 클릭합니다.
  4. 다음을 포함하여 평가의 주요 메트릭을 검토합니다.
    • 탐지된 노출된 비밀의 수
    • 찾은 비밀 유형
    • 위험이 가장 높은 리포지토리
    • 권장되는 수정 작업

참고

SRA 보고서는 GHSP 구현 전이나 도중에 비밀 노출의 지정 시간 스냅샷을 나타냅니다.

3단계: SRA 데이터와 현재 보안 개요 비교

SRA 보고서는 GHSP 롤아웃 전후에 수행된 지정 시간 스냅샷이며, 보안 개요는 경고가 열리고 해결될 때 업데이트되는 실시간 데이터를 보여 줍니다. 의미 있는 비교를 수행하려면 두 데이터 세트가 동일한 비밀 형식을 포함하도록 해야 합니다.

비교 가능한 패턴 형식으로 필터링

SRA 보고서는 공급자 패턴제네릭 패턴만 검색합니다. 그러나 보안 개요에는 GHSP를 사용하도록 설정한 이후 구성한 사용자 지정 패턴의 결과도 포함될 수 있습니다. 정확한 비교를 보장하려면 보안 개요를 SRA에서 다루는 것과 동일한 패턴 형식으로 필터링합니다.

UI 사용

보안 개요 위험 탭에서 필터 막대를 사용하여 사용자 지정 패턴을 제외하고 결과를 공급자 및 제네릭 패턴으로만 좁힐 수 있습니다.

API 사용

또는 REST API를 사용하여 비밀 유형으로 필터링된 경고를 프로그래밍 방식으로 검색할 수 있습니다. 예를 들어 리포지토리에 대한 기본값(공급자) 비밀 검사 경고 만 나열하려면 다음을 수행합니다.

Shell
gh api \
  -H "Accept: application/vnd.github+json" \
  /orgs/ORG/secret-scanning/alerts --paginate

기본 패턴에 대해서만 경고를 반환합니다. 결과에 제네릭 패턴도 포함하려면 매개 변수를 사용하여 secret_type 특정 토큰 이름을 전달합니다.

자세한 내용은 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요.

비교를 구성하세요

  1. 필터링된 데이터를 사용하여 다음 주요 메트릭을 사용하여 비교 테이블을 만듭니다.

    MetricSRA 보고서(기준)현재 보안 개요(필터링됨)Change
    노출된 총 비밀[SRA 번호][현재 번호][차이점]
    중요 알림[SRA 번호][현재 번호][차이점]
    영향을 받는 리포지토리[SRA 번호][현재 번호][차이점]

  2. 각 메트릭의 백분율 변경률을 계산합니다.

    • 긍정적인 영향 지표: 노출된 총 비밀 감소, 중요한 경고 감소
    • 개선 영역: 새로운 경고가 나타나고 추세가 증가하는 특정 리포지토리

  3. 다음과 같은 중요한 차이점을 기록해 둡니다.

    • 감지되는 비밀 형식
    • 리포지토리 범위
    • 경고 해결 속도

SRA 보고서가 없더라도 보안 개요의 추세를 분석하여 GHSP 효율성을 평가할 수 있습니다.

  1. GitHub에서 조직의 기본 페이지로 이동합니다.

  2. 조직 이름 아래에서 탭을 Security 클릭합니다.

  3. 보안 개요 위험 탭에서 시간에 따라 표시되는 비밀 검사 경고 추세 그래프를 확인합니다.

  4. 패턴 식별:

    • 감소 추세: 성공적인 수정 및 방지를 나타냅니다.
    • 고원: 안정적인 상태를 제안하거나 인식 향상에 대한 필요성을 제안할 수 있습니다.
    • 상승 추세: 탐지 범위 증가 또는 새로운 비밀 소개를 나타낼 수 있습니다.

  5. 개별 리포지토리를 클릭하여 특정 경고 세부 정보로 드릴다운합니다.

  6. 경고 해결 속도를 검토합니다.

    • 조직의 Security 탭으로 이동하세요.
    • "결과"에서 을 클릭합니다 Secret scanning.
    • 닫힌 경고 수와 열려 있는 경고 수를 확인합니다.
    • 관심 있는 경고 유형을 선택합니다.
    • 평균 해결 시간을 평가합니다.

5단계: 결과 해석 및 작업 수행

분석에 따라 다음 단계를 결정합니다.

  • GHSP 값을 보여 주는 개선 사항 문서화
  • 다른 리포지토리 간에 복제하는 성공적인 사례 식별
  • 추가 리포지토리 또는 조직으로 GHSP 적용 범위를 확장하는 것이 좋습니다.

개선해야 할 영역이 표시되는 경우

  • 경고 증가 또는 느린 해결 시간을 사용하여 리포지토리 검토
  • 개발 팀에 추가 교육 제공
  • 사용자 지정 패턴을 구성해야 하는지 여부 평가
  • 새 비밀이 도입되지 않도록 푸시 보호가 사용되는지 확인

지속적인 모니터링

  • 매주 또는 매월 보안 개요를 정기적으로 검토하도록 예약하십시오.
  • 새로운 비밀 검사 경고에 대한 알림 설정
  • 시간이 지남에 따라 메트릭을 추적하여 지속적인 개선을 보여 줍니다.

추가 읽기