보안 캠페인 생성 및 관리하기

조직의 보안 개요에서 직접 보안 캠페인을 관리할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

관리자 역할이 있는 조직 소유자, 보안 관리자 및 조직 구성원

GitHub Team가 활성화된 GitHub Enterprise Cloud 또는 GitHub Secret Protection or GitHub Code Security의 조직

GitHub Code Security가 활성화된 조직

이 기사에서

참고

secret scanning 경고 캠페인은 현재 공개 미리 보기 상태이며 변경될 수 있습니다.

보안 캠페인 만들기

보안 캠페인은 조직의 탭에서 Security and quality 만들어지고 관리됩니다.

다음 중 하나를 사용하여 캠페인에 포함할 알림을 선택합니다.

  • 캠페인 템플릿: 캠페인 템플릿에는 가장 일반적으로 사용되는 알림 선택을 위한 필터가 포함되어 있습니다. 코드 캠페인의 경우 모두 포함된 모든 경고 유형(즉, GitHub Copilot Autofix)에 대해 지원되는 요구 사항 autofix:supported 도 포함합니다.
  • 사용자 지정 필터: 캠페인을 사용자 지정 필터를 사용하여 생성하면 캠페인에 포함할 알림을 선택하기 위한 기준을 직접 정의할 수 있으며, 조직의 구체적인 요구 사항에 맞게 캠페인을 조정할 수 있습니다.

또한 REST API를 사용하여 캠페인을 더욱 효율적이고 대규모로 만들고 상호 작용을 할 수 있습니다. 자세한 내용은 보안 캠페인에 대한 REST API 엔드포인트을(를) 참조하세요.

캠페인 만들기

  1. GitHub에서 조직의 기본 페이지로 이동합니다.
  2. 조직 이름 아래에서 탭을 Security and quality 클릭합니다.
  3. 왼쪽 사이드바에서 캠페인을 클릭합니다.
  4.        **캠페인 <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-triangle-down" aria-label="triangle-down" role="img"><path d="m4.427 7.427 3.396 3.396a.25.25 0 0 0 .354 0l3.396-3.396A.25.25 0 0 0 11.396 7H4.604a.25.25 0 0 0-.177.427Z"></path></svg>만들기**를 클릭한 다음 다음 옵션 중 하나를 선택합니다.
    • 템플릿에서 클릭한 다음 목록에서 미리 정의된코드 또는 비밀 캠페인 템플릿을 선택합니다.
    • From code scanning filters 또는 From secret scanning filters를 클릭한 다음, 필터를 추가하여 캠페인에 대한 경고의 하위 집합을 정의합니다. 유용한 필터의 예제를 참조하세요.
  5. 캠페인에 포함할 알림 집합을 검토하고 필터를 필요에 따라 조정하세요. 선택한 알림 수가 1000개 이하인지 확인하세요.
  6. 캠페인 범위에 만족하면 저장하기를 클릭한 다음, 초안 캠페인을 생성할지 또는 게시 전에 캠페인 세부 정보를 바로 확정할지 선택하세요.
    • 시작하기 전에 캠페인의 범위와 세부 정보를 검토하거나 캠페인 구현에 대한 피드백을 구하려면 초안 캠페인을 클릭합니다.
    • 캠페인을 게시하려는 경우 검토 단계가 필요하지 않은 경우 캠페인 게시를 클릭합니다****.
  7. 선택 사항으로, 초안 캠페인을 생성한 경우 캠페인 세부 정보를 편집하고 저장한 뒤 검토하세요.
    • 캠페인 요구 사항에 맞게 “캠페인 이름”과 “간단한 설명”을 편집하고, 캠페인을 지원하는 리소스에 대한 링크를 추가하세요.
    • "캠페인 기한"을 정의하고 캠페인의 주 연락처로 한 명 이상의 “캠페인 관리자”를 선택하세요. 캠페인 관리자는 조직의 소유자 또는 보안 관리자인 사용자나 팀이어야 합니다.
    • 필요에 따라 캠페인 관리자에게 문의하기 위해 GitHub Discussions "연락처 링크"(예: 다른 통신 채널에 대한 링크)를 제공합니다.
    • 초안 저장을 클릭합니다.
    • 캠페인을 게시할 준비가 끝나면 우측 위 모서리에서 검토 및 게시를 클릭하세요.
  8. “캠페인 게시” 페이지에서 캠페인 세부 정보를 검토 및 편집합니다.
    • 캠페인 이름
    • 간단한 설명
    • 기한
    • 캠페인 관리자
    • 연락처 링크
  9. 필요에 따라 "코드" 캠페인의 경우 캠페인에 포함된 각 리포지토리에 캠페인 문제를 만들려면 "캠페인 게시" 페이지의 "Automations"에서 "이 캠페인의 NUMBER 리포지토리에 대한 문제 만들기" 옆의 확인란을 선택합니다.
  10.        **Publish campaign**을 클릭합니다.

보안 캠페인이 생성되며 캠페인 개요 페이지가 표시됩니다.

조직에 대한 보안 캠페인이 성공적으로 생성되었나요?

          <a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
          <span>예</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>아니요</span></a>

유용한 필터의 예

모든 템플릿 필터는 is:open을 사용하여 해결해야 하는 경고만 포함합니다. code scanning 경고는 기본 분기에도 존재해야 합니다.

          code scanning 경고에 대한 추가 기본 필터:
  • autofilter:true에는 애플리케이션 코드에 있는 것으로 보이는 알림만 포함됩니다.
  • autofix:supported 에는 지원되는 규칙에 대한 경고만 포함됩니다 GitHub Copilot Autofix.

경고 필터링에 대한 자세한 내용은 대규모 경고 수정을 위한 보안 캠페인 실행보안 개요에서 경고 필터링을(를) 참조하세요.

          Code scanning 경고 필터

핵심 필터 외에도 일반적으로 특정 규칙 이름, 심각도 또는 태그로 결과를 제한하는 필터를 추가하는 것이 좋습니다.

  • is:open autofilter:true autofix:supported rule:java/log-injection Java 코드에서 로그 삽입에 대한 경고만 표시합니다. CodeQL 분석에 대한 쿼리을(를) 참조하세요.
  • is:open autofilter:true autofix:supported tag:external/cwe/cwe-117을 사용하여 “CWE 117: 로그에 대한 부적절한 출력 중화”에 대한 알림만 표시합니다. 여기에는 Java 및 기타 언어로 로그 삽입이 포함됩니다.
  • is:open autofilter:true autofix:supported severity:critical을 사용하여 보안 심각도가 위험(critical)인 경고만 표시합니다.

          Secret scanning 경고 필터

핵심 필터 외에도 일반적으로 특정 공급자, 비밀 유형 또는 푸시 보호를 우회한 비밀(엔터프라이즈 계정만 해당)로 결과를 제한하는 필터를 추가하는 것이 좋습니다.

  • is:open provider:azure 토큰 공급자 Azure 대한 경고만 표시합니다.
  • is:open secret-type:azure_ai_services_key,azure_cognitive_services_key을 사용하여 "azure_ai_services_key" 및 "azure_cognitive_services_key" 토큰에 대한 경고만 표시합니다. 지원되는 비밀 검사 패턴을(를) 참조하세요.
  • is:open props.BusinessPriority:Urgent을 사용하여 사용자 지정 속성 "BusinessPriority" 값이 "Urgent"인 리포지토리에 대한 경고만 표시합니다. 조직의 리포지토리에 대한 사용자 지정 속성 관리을(를) 참조하세요.

보안 캠페인 시작

코드 캠페인을 만들면 용량이 허용하는 대로 처리되도록 GitHub Copilot Autofix 모든 경고가 자동으로 제출됩니다. 이렇게 하면 끌어오기 요청에서 발견된 경고에 대한 제안이 새 캠페인에 의해 지연되지 않습니다. 생성할 수 있는 모든 제안은 대부분의 경우 한 시간 이내에 준비됩니다. 하루 중 사용량이 많은 시간대이거나 특히 복잡한 경고의 경우에는 더 오래 걸립니다.

개발자가 보안 캠페인이 시작되었다는 사실을 알게 되는 방법

새 캠페인은 포함된 각 리포지토리에 대한 탭의 Security and quality 사이드바에 표시됩니다.

  • 코드 캠페인: 캠페인에 포함된 리포지토리에 대하여 쓰기 권한이 있는 모든 사용자에게 알림이 전송됩니다.
  • 시크릿 캠페인: 캠페인에 포함된 리포지토리의 경고 목록 보기를 확인할 수 있는 모든 사용자에게 알림이 전송됩니다.

리포지토리에 대한 쓰기 권한이 있는 모든 사용자에게 캠페인 경고를 할당할 수 있습니다. 경고 할당을 참조하세요.

개발자 환경에 대한 자세한 내용은 보안 캠페인에서 경고 수정을(를) 참조하세요.

보안 캠페인 참여도를 높이는 방법

캠페인의 참여도를 높이는 가장 좋은 방법은 경고를 해결하기 위해 협업하고자 하는 팀에 캠페인을 적극적으로 알리는 것입니다. 예를 들어, 엔지니어링 관리자와 협력하여 개발이 비교적 한산한 기간을 선택하고, 서로 다른 유형의 경고에 각각 초점을 둔 여러 보안 캠페인을 교육 세션과 함께 운영할 수 있습니다. 더 많은 아이디어는 대규모 경고 수정을 위한 보안 캠페인 실행을 참조하세요.

보안 캠페인 세부 정보 편집

캠페인의 이름, 설명, 기한, 관리자를 편집할 수 있습니다.

  1. GitHub에서 조직의 기본 페이지로 이동합니다.
  2. 조직 이름 아래에서 탭을 Security and quality 클릭합니다.
  3. 왼쪽 사이드바에서 캠페인을 클릭합니다.
  4. 캠페인 이름을 캠페인 목록에서 클릭하여 캠페인 추적 보기를 표시하세요.
  5. 캠페인 제목 행에서 캠페인 편집을 클릭하고 선택합니다****.
  6. “캠페인 편집” 대화 상자에서 변경 사항을 입력한 후 변경 사항 저장을 클릭하세요.

변경 내용은 즉시 적용됩니다.

보안 캠페인 닫기, 다시 열기 및 삭제

활성 캠페인은 최대 10개까지 허용됩니다. 캠페인이 완료되었거나 일시 중지하려는 경우 캠페인을 닫아야 합니다. 닫힌 캠페인은 “닫힘” 캠페인 목록에서 계속 확인할 수 있으며, 닫힌 캠페인은 다시 열 수 있습니다.

캠페인이나 해당 데이터의 보존이 필요하지 않은 경우 삭제할 수 있습니다.

캠페인 닫기

  1. GitHub에서 조직의 기본 페이지로 이동합니다.
  2. 조직 이름 아래에서 탭을 Security and quality 클릭합니다.
  3. 왼쪽 사이드바에서 캠페인을 클릭합니다.
  4. 닫으려는 캠페인의 오른쪽에서 을(를) 클릭한 후, 캠페인 닫기를 선택합니다.

닫힌 캠페인 다시 열기

  1. GitHub에서 조직의 기본 페이지로 이동합니다.
  2. 조직 이름 아래에서 탭을 Security and quality 클릭합니다.
  3. 왼쪽 사이드바에서 캠페인을 클릭합니다.
  4. 캠페인 목록 상단에서 닫힘을 클릭하여 닫힌 캠페인 목록을 확인하세요.
  5. 캠페인을 다시 열려면, 해당 캠페인의 오른쪽에 있는 을(를) 클릭하고, 캠페인 다시 열기를 선택합니다.

캠페인 삭제하기

  1. GitHub에서 조직의 기본 페이지로 이동합니다.
  2. 조직 이름 아래에서 탭을 Security and quality 클릭합니다.
  3. 왼쪽 사이드바에서 캠페인을 클릭합니다.
  4. 삭제할 캠페인 오른쪽에서 클릭한 다음 캠페인 삭제를 선택합니다****.

다음 단계