서문
GitHub의 보안 기능을 사용하여 조직 소유자 또는 보안 관리자는 조직의 코드, 종속성 및 비밀을 안전하게 보호할 수 있습니다. 자세한 내용은 GitHub security features(GitHub 보안 기능)을(를) 참조하세요.
조직의 보안 요구 사항은 각각 고유합니다. 특정 기능으로 예방할 수 있었던 취약성으로 인해 조직이 영향을 받은 경우이거나, 해당 기능이 조직의 규정 준수 요구 사항을 충족하는 데 도움이 되는 경우에는 해당 기능을 활성화하고자 할 수 있습니다.
조직 내 여러 리포지토리에 대해 동시에 보안 기능을 활성화할 수 있습니다. 활성화하려는 각 기능에 대해, 해당 기능을 조직의 리포지토리 전반에 어떻게 배포할지 결정해야 합니다. 기능마다 조직과 기여자에게 미치는 영향이 다르므로, 각 기능이 미칠 영향을 평가하는 것이 중요합니다. 예를 들어:
- 특정 취약성에 대해 일부 기능은 조직 구성원에게 알림을 생성할 수 있습니다. 이러한 알림이 대상에 맞고 관련성이 있도록 하려면, 기능을 활성화하기 전에 구성원에게 알림 설정을 확인하도록 요청하는 것이 좋습니다. 자세한 내용은 알림 구성을(를) 참조하세요.
- 일부 기능은 활성화된 각 리포지토리에서 리소스를 소비할 수 있습니다. 예를 들어, code scanning을 비공개 리포지토리에서 활성화하면 GitHub Advanced Security 라이선스가 소모될 수 있으며, 리포지토리에서 code scanning 분석을 실행하면 GitHub Actions 또는 다른 CI 시스템의 사용량이 발생합니다.
조직 소유자는 팀에 “보안 관리자” 역할을 할당하여 특정 사용자에게 보안 기능을 활성화하거나 비활성화할 수 있는 권한을 부여할 수 있습니다. 보안 관리자는 조직 전반에서 보안 설정을 구성하고 보안 기능의 사용량을 모니터링할 수 있습니다. 자세한 내용은 조직의 보안 관리자 관리을(를) 참조하세요.
기능의 사전 요구 사항에 대하여
일부 보안 기능에는 사전 요구 사항이 있습니다. 예를 들어, Dependabot alerts는 종속성 그래프의 정보를 사용하므로 Dependabot alerts를 활성화하면 종속성 그래프가 자동으로 활성화됩니다.
일부 기능은 GitHub Advanced Security를 사용하는 Enterprise에서만 사용할 수 있으며, 리포지토리에 대한 기능으로 Advanced Security를 활성화한 경우에만 사용할 수 있습니다. 자세한 내용은 GitHub Advanced Security 정보을(를) 참조하세요.
참고 항목
Enterprise는 GitHub Advanced Security를 활성화할 수 있는 조직을 관리하기 위한 정책을 설정할 수 있습니다. 자세한 내용은 엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을(를) 참조하세요.
일부 기능은 개별적으로 각 리포지토리별로 구성해야 합니다. 예를 들어 Dependabot version updates를 리포지토리에서 사용하도록 설정하려면 프로젝트의 종속성 관련 정보를 찾을 위치를 지정하는 dependabot.yml 파일을 추가해야 합니다. 자세한 내용은 Dependabot 버전 업데이트 구성을(를) 참조하세요.
조직에서 보안 기능 활성화하기
보안 기능을 활성화하기로 결정한 경우, 다음 단계는 해당 기능을 조직 전체에 어떻게 적용할지 결정하는 것입니다.
- 기능을 가능한 한 빠르게 적용하려면, 자격 요건을 충족하는 모든 리포지토리에 한 번에 활성화할 수 있습니다. 자세한 내용은 모든 리포지토리에서 기능 활성화하기를 참조하세요.
- 기능을 적용하는 속도와 어떤 리포지토리에 어떤 기능을 활성화할지에 대해 제어하고자 한다면, 선택한 일부 리포지토리에만 기능을 활성화할 수 있습니다. 자세한 내용은 일부 리포지토리에서 기능 활성화하기를 참조하세요.
조직의 기존 리포지토리에 대해 기능을 어떻게 활성화할지 결정했다면, 향후 조직에 새로 생성되는 리포지토리를 어떻게 처리할지도 함께 결정해야 합니다. 자세한 내용은 새로운 리포지토리에서 기능 활성화하기를 참조하세요.
대규모 조직 또는 Enterprise 전반에 보안 기능을 적용하기 위한 전략을 수립하는 방법에 대한 자세한 내용은 대규모 GitHub Advanced Security 도입 소개을 참조하세요.
모든 리포지토리에 기능 활성화하기
가장 빠르게 보안 기능을 적용하는 방법은 조직의 모든 리포지토리에 한 번에 해당 기능을 활성화하는 것입니다. 특정 기능에 대한 중대한 필요성을 확인한 경우, 모든 리포지토리에 기능을 활성화하면 배포 계획을 수립하기 위해 중단할 필요 없이 조직 전체에 걸쳐 보호를 제공할 수 있습니다.
모든 리포지토리에 기능을 활성화하기 전에, 이 조치가 미칠 영향을 고려해야 합니다. 기능이 미칠 영향에 대해 확신이 없다면, 제한된 일부 리포지토리부터 기능을 활성화하면서 시작하는 것이 가장 안전합니다. 다음과 같은 경우에는 모든 리포지토리에 기능을 한 번에 활성화하는 것이 적절한 선택일 가능성이 높습니다.
- 조직 내 모든 리포지토리에 대한 개요를 파악하고 있으며, 특정 기능이 모든 리포지토리에 도움이 될 것이라고 확신하는 경우입니다.
- 기능에 GitHub Advanced Security 라이선스나 GitHub Actions 분과 같은 리소스가 필요한 경우, 필요한 리소스를 평가하였으며 진행해도 괜찮다고 판단한 경우입니다.
- 기능이 알림이나 풀 요청을 생성하는 경우, 이를 수신하거나 검토해야 하는 구성원에게 해당 알림이나 요청이 적절하고 관련성이 높을 것이라고 확신하는 경우입니다.
진행할 준비가 되면, 다음 단계를 따라 모든 리포지토리에 기능을 활성화하세요.
-
GitHub에서 조직의 기본 페이지로 이동합니다.
-
조직 이름에서 설정을 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
-
왼쪽 사이드바에서 코드 보안 및 분석을 클릭하세요.
-
활성화하려는 기능을 찾은 다음, 관련된 확인란을 사용하여 옵션을 세부적으로 조정하세요.
-
해당 기능이 지원되는 조직의 모든 리포지토리에 기능을 활성화할 준비가 되면, 기능 이름 옆에서 모두 활성화를 클릭하세요.
모두 활성화를 클릭하면 선택 내용을 확인하라는 메시지가 표시됩니다. 또한 해당 기능이 다른 기능에 의존하는지 여부나 GitHub Advanced Security가 필요한지도 안내됩니다. 자세한 내용은 조직의 보안 및 분석 설정 관리을(를) 참조하세요.
일부 리포지토리에서 기능 활성화하기
경우에 따라서는 기능이 필요한 리포지토리의 일부만 식별한 다음, 해당 리포지토리에 대해서만 기능을 활성화하는 것이 더 나은 경우도 있습니다.
기능이 어떤 영향을 미칠지 확신이 없는 경우에는, 모든 리포지토리에 기능을 활성화하기로 결정하기 전에 제한된 일부 리포지토리에서 먼저 기능을 테스트하거나, 여러 단계에 걸쳐 점진적으로 기능을 배포할 수 있습니다. 또한 조직 내 일부 리포지토리는 다른 리포지토리와는 다른 기능 구성이 필요하다는 점을 이미 인지하고 있을 수도 있습니다.
“보안 적용 범위” 보기를 사용하여 특정 기능이 필요한 리포지토리를 식별한 다음, 해당 리포지토리에 대해 기능을 활성화할 수 있습니다. 다음 단계에서는 "보안 적용 범위" 보기를 찾는 방법을 설명합니다.
-
GitHub에서 조직의 기본 페이지로 이동합니다.
-
조직 이름에서 보안을 클릭합니다.
-
사이드바에서 적용 범위를 클릭하세요.
이 보기에서 확인란을 사용하여 특정 리포지토리를 선택하거나, 검색 창을 사용하여 기능을 활성화하려는 리포지토리를 찾을 수 있습니다. 예를 들어, 필터를 통해 특정 팀이 쓰기 또는 관리자 액세스 권한을 가진 리포지토리를 식별하거나, 테스트 리포지토리나 내부 문서용 리포지토리와 같이 동일한 수준의 보호가 필요하지 않은 리포지토리를 제외할 수 있습니다. 그런 다음 선택한 모든 리포지토리에 대해 한 번에 기능을 활성화할 수 있습니다. 자세한 내용은 다수의 리포지토리에 보안 기능 활성화하기을(를) 참조하세요.
GitHub Advanced Security 라이선스 수가 제한되어 있는 경우, 핵심 프로젝트가 포함된 리포지토리나 커밋 빈도가 가장 높은 리포지토리를 우선적으로 고려하는 것이 좋습니다. GitHub Advanced Security 라이선스 청구을(를) 참조하세요.
참고 항목
- code scanning 기본 설정을 사용하면 선택한 리포지토리에 대한 고급 설정의 기존 구성이 재정의되지 않지만 기본 설정의 기존 구성은 재정의됩니다.
- secret scanning에 대해 "경고"를 사용하도록 설정하면 신뢰도가 높은 경고를 사용할 수 있습니다. 비공급자 경고를 사용하려면 리포지토리, 조직 또는 엔터프라이즈 설정을 편집해야 합니다. 경고 유형에 대한 자세한 내용은 지원되는 비밀을 참조하세요.
새로운 리포지토리에 기능 활성화하기
조직에서 새로 생성되는 모든 리포지토리에 대해 보안 기능을 자동으로 활성화하도록 선택할 수 있습니다. 신규 리포지토리에서 기능을 활성화하면 보호가 즉시 적용되며, 리포지토리의 취약성을 가능한 한 조기에 식별할 수 있습니다. 그러나 보안 기능을 최대한 효율적으로 사용하기 위해, 각 새 리포지토리를 개별적으로 검토하는 방식을 선호할 수도 있습니다.
-
GitHub에서 조직의 기본 페이지로 이동합니다.
-
조직 이름에서 설정을 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
-
왼쪽 사이드바에서 코드 보안 및 분석을 클릭하세요.
-
기능 이름 아래에서, 향후 적용 가능한 새 리포지토리에 기능을 자동으로 활성화하는 옵션을 선택하세요.
보안 기능의 영향 모니터링
기능을 활성화한 후에는, 해당 기능의 영향을 평가하기 위해 조직의 리포지토리 관리자 및 기여자와 소통해야 합니다. 일부 기능의 구성은 리포지토리 수준에서 조정해야 하거나, 조직 전반에 걸친 보안 기능의 분포를 재검토해야 할 수도 있습니다. 또한 기능이 생성하는 보안 경고와, 이러한 경고에 대한 구성원들의 대응을 모니터링해야 합니다.
보안 개요를 사용하여 보안 경고의 영향을 받는 팀과 리포지토리를 확인할 수 있으며, 심각도별 경고 분류도 함께 확인할 수 있습니다. 자세한 내용은 코드의 보안 위험 평가을(를) 참조하세요.
보안 개요에는 조직의 보안 환경에 대한 인사이트를 얻을 수 있도록, 상위 수준의 추세와 지표를 살펴볼 수 있는 대시보드도 포함되어 있습니다. 자세한 내용은 보안 인사이트 보기을(를) 참조하세요.
다양한 도구를 사용하여 보안 경고에 대응해 조직 구성원들이 수행하는 작업을 모니터링할 수 있습니다. 자세한 내용은 보안 경고 감사을(를) 참조하세요.
다음 단계
사용자가 보안 취약성을 신고할 수 있도록 돕기 위해, 자체 보안 정책이 없는 조직의 모든 공개 리포지토리에 표시될 기본 보안 정책을 생성할 수 있습니다. 자세한 내용은 Creating a default community health file(기본 커뮤니티 상태 파일 만들기)을(를) 참조하세요.
조직의 보안 설정이 완료되면, 리포지토리에서 사용자가 보안 설정을 변경하지 못하도록 제한할 수 있습니다. Enterprise 소유자는 리포지토리 관리자가 리포지토리에서 기능을 활성화하거나 비활성화하지 못하도록 제한할 수 있습니다. 자세한 내용은 엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을(를) 참조하세요.
GitHub Actions을(를) 사용하는 경우 GitHub의 보안 기능을 사용하여 워크플로의 보안을 강화할 수 있습니다. 자세한 내용은 안전 사용 참조을(를) 참조하세요.