{"meta":{"title":"GitHub Secret Protection의 엔터프라이즈 평가판 살펴보기","intro":"비즈니스 요구 사항에 맞는지를 평가할 수 있도록 GitHub Enterprise Cloud에서 사용할 수 있는 GitHub Secret Protection의 기능을 소개합니다.","product":"보안 및 코드 품질","breadcrumbs":[{"href":"/ko/code-security","title":"보안 및 코드 품질"},{"href":"/ko/code-security/tutorials","title":"Tutorials"},{"href":"/ko/code-security/tutorials/trialing-github-advanced-security","title":"평가판 GitHub Advanced Security"},{"href":"/ko/code-security/tutorials/trialing-github-advanced-security/explore-trial-secret-scanning","title":"파일럿 비밀 보호"}],"documentType":"article"},"body":"# GitHub Secret Protection의 엔터프라이즈 평가판 살펴보기\n\n비즈니스 요구 사항에 맞는지를 평가할 수 있도록 GitHub Enterprise Cloud에서 사용할 수 있는 GitHub Secret Protection의 기능을 소개합니다.\n\n이 가이드에서는 기존 또는 평가판 GitHub 엔터프라이즈 계정에 대한 GitHub Advanced Security 평가판을 계획하고 시작했다고 가정합니다.\n[GitHub Advanced Security 파일럿 계획하기](/ko/code-security/trialing-github-advanced-security/planning-a-trial-of-ghas)을(를) 참조하세요.\n\n## 소개\n\n```\n          GitHub Secret Protection 기능은 모든 공용 리포지토리에서와 마찬가지로 프라이빗 및 내부 리포지토리에서 동일한 방식으로 작동합니다. 이 문서에서는 다음과 같이 사용할 GitHub Secret Protection때 보안 누출로부터 비즈니스를 보호하는 데 사용할 수 있는 추가 기능에 중점을 둡니다.\n```\n\n* 사용자 지정 패턴을 정의하여 사용자가 이용하는 추가 액세스 토큰을 식별합니다.\n* AI를 사용하여 잠재적 암호를 감지합니다.\n* 푸시 보호 및 비밀 검사 경고용 우회 프로세스를 제어하고 감사합니다.\n* 노출된 토큰에 대한 유효성 검사를 사용하도록 설정합니다.\n* 보안 전문가와 개발자가 협력하여 기술 부채를 효과적으로 줄일 수 있는 보안 캠페인을 만듭니다.\n\n무료 비밀 위험 평가를 실행하는 방법을 알아보려면 설명서에서 [초기 비밀 위험 평가](/ko/enterprise-cloud@latest/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization#generating-an-initial-secret-risk-assessment) 생성을 GitHub Enterprise Cloud 참조하세요.\n\n무료 비밀 위험 평가를 사용하여 조직의 코드에서 유출된 비밀을 이미 검사한 경우 조직의 탭에 있는 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** 추가 보기를 사용하여 해당 데이터를 보다 완벽하게 탐색할 수 있습니다.\n\n사용 가능한 기능에 대한 자세한 내용은 다음을 참조하세요 [GitHub Secret Protection](/ko/get-started/learning-about-github/about-github-advanced-security#github-secret-protection).\n\n###\n\n```\n          Secret Protection의 보안 구성\n```\n\n대부분의 기업은 이러한 기능을 사용하도록 설정된 보안 구성을 적용하여 모든 리포지토리에서 푸시 보호 기능을 사용하도록 Secret Protection 선택합니다. 이렇게 하면 사용자가 GitHub에서 토큰을 누수하기 직전에 경고가 발생하는 것 외에도, 리포지토리에서 GitHub 이미 추가된 액세스 토큰을 확인할 수 있습니다. 엔터프라이즈 수준의 보안 구성을 생성하고 테스트 리포지토리에 이를 적용하는 방법에 대한 자세한 정보는 [평가판 엔터프라이즈에서 보안 기능 활성화](/ko/code-security/trialing-github-advanced-security/enable-security-features-trial)을 참조하세요.\n\n### 의 결과를 볼 수 있는 액세스 권한 제공 secret scanning\n\n기본적으로 리포지토리 관리자와 조직 소유자만 해당 영역의 모든 secret scanning 경고를 볼 수 있습니다. 파일럿 기간 중에 발견된 경고로 접근하고자 하는 모든 조직 팀과 사용자에게 사전에 정의된 보안 관리자 역할을 할당해야 합니다. 또한 엔터프라이즈 계정 소유자에게 파일럿의 각 조직을 대상으로 이 역할을 부여할 수도 있습니다. 자세한 내용은 [조직의 보안 관리자 관리](/ko/organizations/managing-peoples-access-to-your-organization-with-roles/managing-security-managers-in-your-organization)을(를) 참조하세요.\n\n엔터프라이즈용 탭에서 평가판 엔터프라이즈의 조직에서 찾은 결과에 대한 요약을 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** 볼 수 있습니다. 각 보안 경고 유형에 대한 별도의 보기도 있습니다.\n[보안 인사이트 보기](/ko/code-security/security-overview/viewing-security-insights)을(를) 참조하세요.\n\n## 추가 액세스 토큰을 식별하세요\n\n사용자 지정 패턴을 생성하여 리포지토리, 조직, 엔터프라이즈 수준에서 추가 액세스 토큰을 식별할 수 있습니다. 패턴이 엔터프라이즈 전체에서 사용되도록 하려면 대부분은 엔터프라이즈 수준에서 사용자 지정 패턴을 정의해야 합니다. 또한 토큰 형식이 변경될 때 패턴을 업데이트해야 하는 경우에도 쉽게 유지할 수 있습니다.\n\n사용자 지정 패턴을 만들고 게시한 후에는 모든 secret scanning 검사와 푸시 보호에 새 패턴이 자동으로 포함됩니다. 사용자 지정 패턴 생성에 관한 자세한 내용은 [비밀 검사를 위한 사용자 지정 패턴 정의](/ko/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/custom-patterns/defining-custom-patterns-for-secret-scanning)을 참조하세요.\n\n## AI를 사용하여 잠재적인 암호 검색하기\n\n엔터프라이즈 수준에서는 정규식으로 식별할 수 없는 비밀 정보(일반 비밀 또는 비공급자 패턴으로도 알려짐)를 탐지하기 위해 AI 사용을 허용할지 여부를 완전히 제어할 수 있습니다.\n\n* 전체 엔터프라이즈에 대해 기능을 켜거나 끕니다.\n* 조직 및 리포지토리 수준에서 기능 제어를 차단하기 위한 정책을 설정합니다.\n* 조직 소유자 또는 리포지토리 관리자가 기능을 제어할 수 있도록 정책을 설정합니다.\n\n사용자 지정 패턴과 마찬가지로 AI 검색을 사용하도록 secret scanning 설정하고 푸시 보호를 사용하면 모든 검사에서 AI 검색을 자동으로 사용하기 시작합니다. 엔터프라이즈 수준의 제어에 대한 자세한 내용은 [enterprise에 대한 추가 비밀 검사 설정 구성](/ko/enterprise-cloud@latest/admin/managing-code-security/securing-your-enterprise/configuring-additional-secret-scanning-settings-for-your-enterprise) 및 [엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용](/ko/enterprise-cloud@latest/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-code-security-and-analysis-for-your-enterprise)을 참조하세요.\n\n## 바이패스 프로세스 제어 및 감사\n\n푸시 보호가 GitHub Secret Protection 없이 GitHub 공용 리포지토리로의 푸시를 차단할 때, 사용자는 두 가지 간단한 선택을 할 수 있습니다: 제어를 우회하거나, 브랜치와 그 기록에서 강조된 콘텐츠를 제거하는 것입니다. 푸시 보호를 무시하도록 선택한 경우 경고가 secret scanning 자동으로 생성됩니다. 이렇게 하면 개발자는 secret scanning에서 식별한 콘텐츠에 대한 감사 내역을 제공하여 작업을 신속하게 차단 해제할 수 있습니다.\n\n대규모 팀에서는 일반적으로 액세스 토큰 및 기타 비밀에 대한 잠재적 게시를 보다 엄격하게 제어하길 원합니다. 이를 통해 GitHub Secret Protection푸시 보호를 우회하는 요청을 승인하는 검토자 그룹을 정의하여 개발자가 여전히 활성 상태인 토큰을 실수로 누수할 위험을 줄일 수 있습니다. 해제 요청을 승인하는 검토자 그룹을 정의할 비밀 검사 경고수도 있습니다.\n\n검토자는 조직 수준의 보안 구성 또는 리포지토리에 대한 설정에서 정의됩니다. 자세한 내용은 [푸시 보호를 위한 위임 바이패스에 대해](/ko/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection)을(를) 참조하세요.\n\n## 유효성 검사 활성화\n\n유효성 검사를 활성화하면 감지된 토큰이 리포지토리, 조직, 엔터프라이즈 수준에서 여전히 활성 상태인지 확인할 수 있습니다. 일반적으로 엔터프라이즈 또는 조직 수준 보안 구성을 사용하여 기업 전반적으로 이 기능을 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 설명서의 [리포지토리에 대한 유효성 검사 사용](/ko/enterprise-cloud@latest/code-security/secret-scanning/enabling-secret-scanning-features/enabling-validity-checks-for-your-repository) 을 GitHub Enterprise Cloud 참조하세요.\n\n## 보안 수정에 개발자 참여시키기\n\n보안 캠페인은 보안 팀이 개발자와 협력하여 보안 기술적인 문제를 해결할 수 있는 방법을 제공합니다. 또한 비밀 스토리지의 교육을 개발자가 해결할 수 있는 노출된 비밀의 예시와 결합하는 실실적인 방법을 제공합니다. 자세한 내용은 설명서의 [보안 캠페인 정보](/ko/enterprise-cloud@latest/code-security/securing-your-organization/fixing-security-alerts-at-scale/about-security-campaigns) 및 [대규모 경고 수정을 위한 보안 캠페인 실행](/ko/enterprise-cloud@latest/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale) 을 GitHub Enterprise Cloud 참조하세요.\n\n## 다음 단계\n\n추가 컨트롤을 Secret Protection 사용하도록 설정했으면, 비즈니스 요구 사항에 맞게 테스트하고 자세히 탐색할 준비가 된 것입니다. 사용할 수 있는 GitHub Code Security의 옵션을 살펴볼 준비가 되어 있을 수도 있습니다.\n\n* ```\n          [AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-code-scanning)\n  ```\n* ```\n          [대규모 적용 GitHub Advanced Security](https://wellarchitected.github.com/library/application-security/recommendations/enforce-ghas-at-scale/)\n  ```"}