보안 캠페인 정보

보안 캠페인을 만들고 개발자와 공동 작업하여 보안 백로그를 소진함으로써 대규모 보안 경고를 수정할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Organizations on GitHub Team with GitHub Secret Protection or GitHub Code Security enabled

이 기사에서

보안 경고를 식별한 이후의 다음 단계는 가장 긴급한 경고를 식별하고 수정하는 것입니다. 보안 캠페인은 경고를 그룹화하고 개발자와 공유하는 방법이므로 공동 작업하여 코드 및 노출된 비밀의 취약성을 수정할 수 있습니다.

일상 업무에서의 보안 캠페인

보안 캠페인을 사용하여 보안 리더로서의 다양한 목표를 지원할 수 있습니다.

  • 경고 수정 작업을 선도하여 회사의 보안 태세를 개선합니다.
  • 개발자가 협력하여 수정할 수 있도록 관련된 code scanning 경고 캠페인을 만들어 보안 교육을 강화합니다.
  •         secret scanning 수정 대상 내에서 경고가 해결되었는지 확인합니다.
  • 보안 팀과 개발자 간의 협력 관계를 구축하여 보안 경고의 공유 소유권을 승격합니다.
  • 개발자에게 수정해야 할 가장 긴급한 경고를 명확하게 제공하고 경고 수정 사항을 모니터링합니다.

보안 캠페인 사용의 이점

보안 캠페인은 개발자가 보안 경고를 수정하도록 장려하는 다른 방법보다 많은 이점을 제공합니다. 특히 다음과 같이 유용합니다.

  • 개발자는 자신이 기여할 수 있는 모든 보안 캠페인에 대한 알림을 받습니다.
  • 개발자는 일반적인 워크플로를 벗어나지 않고도 수정을 위해 강조 표시된 경고를 볼 수 있습니다.
  • 각 캠페인에는 질문, 리뷰, 공동 작업을 위해 명명된 연락 지점이 있습니다.
  •         code scanning 경고가 발생하면 GitHub Copilot Autofix이 자동으로 트리거되어 해결 방법을 제안합니다.
  • code scanning 및 secret scanning 모두의 경우, 캠페인 내 알림을 액세스 권한이 있는 사용자에게 할당하여 관리하거나 수정 사항이 포함된 풀 리퀘스트를 자동으로 생성할 수 있도록 Copilot 클라우드 에이전트에게 할당하는 기능을 활용할 수 있습니다.

템플릿 중 하나를 사용하여 캠페인과 밀접하게 관련된 경고 그룹을 선택할 수 있습니다. 이를 통해 개발자는 하나의 경고를 해결하여 얻은 지식을 기반으로 하여 여러 경고를 수정하고 이를 사용하여 여러 경고를 수정할 수 있는 인센티브를 제공할 수 있습니다.

또한 REST API를 사용하여 캠페인을 더욱 효율적이고 대규모로 만들고 상호 작용을 할 수 있습니다. 자세한 내용은 보안 캠페인에 대한 REST API 엔드포인트을(를) 참조하세요.

코드와 비밀 캠페인 간의 차이점

참고

secret scanning 경고 캠페인은 현재 공개 미리 보기 상태이며 변경될 수 있습니다.

만들기 워크플로는 모든 캠페인에서 동일하지만 진행률 추적 및 개발자 환경에서 몇 가지 차이점을 확인할 수 있습니다.

재산코드Secret
포함 가능한 경고
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> 기본 분기만 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>

| 리포지토리 추적 이슈 | | | | 개발자 알림 | 리포지토리에 대한 쓰기 액세스 필요 | 경고 목록에 대한 보기 액세스 필요 | | | | 경고 할당 | | 사용 권한을 올릴 수 있음 | | | | 자동 수정 지원 | GitHub Copilot Autofix | |

사용자의 알림 할당에 관한 정보 및 Copilot 클라우드 에이전트

리포지토리에서 쓰기 액세스 권한을 가진 사용자에게 code scanning나 secret scanning 알림을 할당할 수 있습니다.

경고의 담당자가 secret scanning경고 목록을 볼 수 없는 경우 해당 경고에 대한 권한이 일시적으로 상승합니다. 경고에서 할당이 해제되면 추가 사용 권한도 취소됩니다.

          GitHub 사용자는 알림을 받습니다.
  • 알림에 할당될 때
  • 해당 경고가 해제되는 경우

예를 code scanning들어 사용자를 경고에 할당 또는 할당 해제, 담당자별 경고 필터링 등 REST API를 사용하여 프로그래밍 방식으로 이러한 작업 중 일부를 수행할 수도 있습니다. 자세한 내용은 REST API 설명서에서 코드 검색에 대한 REST API 엔드포인트을(를) 참조하세요. 또한 경고가 할당되거나 할당이 제거되면 웹후크를 사용하여 사용자에게 알릴 수 있습니다.

보안 캠페인에서 경고에 대한 자동 수정이 생성된 경우, 해당 경고를 선택하여 Copilot 클라우드 에이전트에 할당할 수 있습니다. Copilot 는 풀 리퀘스트를 자동으로 생성하는 동시에 귀하를 검토 요청자로 지정을 하여 추가하는 프로세스를 수행합니다. 보안 캠페인에서 경고 수정을(를) 참조하세요.

다음 단계

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/best-practice-fix-alerts-at-scale)

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)