이 버전의 GitHub Enterprise Server는 다음 날짜에 중단됩니다. 2026-04-09. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 더 뛰어난 성능, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise Server로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

비밀 검사 경고 평가

비밀의 유효성을 확인하는 등, 경고를 평가하고 수정 우선순위를 정하는 데 도움이 되는 추가 기능을 알아보세요.

누가 이 기능을 사용할 수 있나요?

리포지토리 소유자, 조직 소유자, 보안 관리자 및 관리자 역할이 있는 사용자

이 기사에서

경고 평가 정보

경고의 우선순위를 더 잘 정하고 관리할 수 있도록, 경고를 평가하는 데 도움이 되는 몇 가지 추가 기능이 있습니다. 당신은 할 수 있어요:

  • 비밀이 아직 활성 상태인지 확인하기 위해 비밀의 유효성을 확인합니다. 비밀의 유효성 확인을 참조하세요.
  • 토큰의 메타데이터를 검토합니다. GitHub 토큰에만 적용. 예를 들어 토큰이 마지막으로 사용된 시점을 확인할 수 있습니다. GitHub 토큰 메타데이터 검토를 참조하세요.

비밀의 유효성 확인

유효성 검사는 어떤 비밀이 active 또는 inactive인지 알려 주어 경고 우선순위를 정하는 데 도움이 됩니다. active 비밀은 여전히 악용될 수 있는 비밀이므로, 이러한 경고는 우선적으로 검토하고 수정해야 합니다.

기본적으로 GitHub은(는) GitHub 토큰의 유효성을 확인하고, 경고 보기에서 토큰의 검증 상태를 표시합니다.

유효성 검사상태결과
활성 비밀activeGitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다.
활성 비밀일 수 있음unknownGitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다.
활성 비밀일 수 있음unknownGitHub은(는) 이 비밀을 확인할 수 없습니다.
비활성 상태의 비밀inactive무단 액세스가 아직 발생하지 않았는지 확인해야 합니다.

현재 지원되는 파트너 패턴에 대한 자세한 내용은 지원되는 비밀 검사 패턴을 참조하세요.

REST API를 사용하여 각 토큰의 최신 검증 상태 목록을 가져올 수 있습니다. 자세한 내용은 REST API 설명서에서 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요. 웹후크를 사용하여 secret scanning 경고와 관련된 활동 알림을 받을 수도 있습니다. 자세한 내용은 secret_scanning_alert 이벤트를 참조하세요.

온디맨드 유효성 검사 수행

리포지토리에 대해 파트너 패턴 유효성 검사를 활성화했다면, 경고 보기에서 비밀 확인을 클릭하여 지원되는 모든 비밀에 대해 "온디맨드" 유효성 검사를 수행할 수 있습니다. GitHub은(는) 해당 패턴을 관련 파트너에게 전송하고, 경고 보기에서 비밀의 검증 상태를 표시합니다.

secret scanning 경고를 보여주는 UI 스크린샷. "비밀 확인"이라고 표시된 버튼이 주황색 윤곽선으로 강조 표시됩니다.

GitHub 토큰 메타데이터 검토

참고

GitHub 토큰의 메타데이터는 현재 베타 상태이며 변경될 수 있습니다.

활성 상태인 GitHub 토큰 경고 보기에서 토큰에 대한 특정 메타데이터를 검토할 수 있습니다. 이 메타데이터는 토큰을 식별하고 어떤 수정 단계를 수행할지 결정하는 데 도움이 될 수 있습니다.

personal access token 및 기타 자격 증명과 같은 토큰은 개인 정보로 간주됩니다. GitHub 토큰 사용에 대한 자세한 내용은 GitHub 개인정보처리방침허용되는 사용 정책을 참조하세요.

토큰 메타데이터를 보여주는 GitHub 토큰 UI 스크린샷.

GitHub 토큰 메타데이터는 비밀 검사가 활성화된 모든 리포지토리의 활성 토큰에 대해 사용할 수 있습니다. 토큰이 폐기되었거나 상태를 검증할 수 없으면 메타데이터를 사용할 수 없습니다. GitHub은(는) 공개 리포지토리에서 GitHub 토큰을 자동으로 폐기하므로, 공개 리포지토리의 GitHub 토큰에 대한 메타데이터는 제공되지 않을 가능성이 높습니다. 활성 상태인 GitHub 토큰에 대해 다음 메타데이터를 사용할 수 있습니다:

메타데이터Description
비밀 이름생성자가 GitHub 토큰에 지정한 이름
비밀 소유자토큰 소유자의 GitHub 핸들
생성 일자토큰이 생성된 날짜
만료된 날짜토큰이 만료된 날짜
마지막 사용 날짜토큰이 마지막으로 사용된 날짜
Access토큰에 조직 액세스가 있는지 여부

유출된 비밀을 포함하는 리포지토리에 대한 관리자 권한이 있는 사용자만 경고에 대한 보안 경고 세부 정보 및 토큰 메타데이터를 볼 수 있습니다. 엔터프라이즈 소유자는 이 목적을 위해 리포지토리에 대한 임시 액세스를 요청할 수 있습니다. 액세스가 부여되면 GitHub에서 유출된 비밀이 포함된 리포지토리의 소유자에게 알리고, 리포지토리 소유자 및 엔터프라이즈 감사 로그에 해당 작업을 기록하며, 2시간 동안 액세스를 활성화합니다.

다음 단계

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)