이 버전의 GitHub Enterprise는 다음 날짜에 중단되었습니다. 2026-06-02. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 더 뛰어난 성능, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise Server로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

비밀 검사 경고 평가

비밀의 유효성을 확인하는 등, 경고를 평가하고 수정 우선순위를 정하는 데 도움이 되는 추가 기능을 알아보세요.

누가 이 기능을 사용할 수 있나요?

리포지토리 소유자, 조직 소유자, 보안 관리자 및 관리자 역할이 있는 사용자

이 기사에서

경고 평가 정보

경고의 우선순위를 더 잘 정하고 관리할 수 있도록, 경고를 평가하는 데 도움이 되는 몇 가지 추가 기능이 있습니다. 당신은 할 수 있어요:

  • 비밀이 아직 활성 상태인지 확인하기 위해 비밀의 유효성을 확인합니다.

비밀의 유효성 검사를 참조하세요.

  • 토큰의 메타데이터를 검토합니다. 토큰에 GitHub 만 적용됩니다. 예를 들어 토큰이 마지막으로 사용된 시점을 확인할 수 있습니다. 토큰 메타데이터 검토를 GitHub참조하세요.

비밀의 유효성 확인

유효성 검사는 어떤 비밀이 active 또는 inactive인지 알려 주어 경고 우선순위를 정하는 데 도움이 됩니다. active 비밀은 여전히 악용될 수 있는 비밀이므로, 이러한 경고는 우선적으로 검토하고 수정해야 합니다.

기본적으로 GitHub 토큰의 GitHub 유효성을 확인하고 경고 보기에 토큰의 유효성 검사 상태를 표시합니다.

유효성 검사상태결과
활성 비밀activeGitHub이(가) 이 비밀의 공급자에게 확인하여 비밀이 활성 상태임을 발견했습니다.
활성 비밀일 수 있음unknownGitHub은(는) 이 토큰 형식에 대한 유효성 검사를 아직 지원하지 않습니다.
활성 비밀일 수 있음unknownGitHub은(는) 이 비밀을 확인할 수 없습니다.
비활성 상태의 비밀inactive무단 액세스가 아직 발생하지 않았는지 확인해야 합니다.

현재 지원되는 파트너 패턴에 대한 자세한 내용은 지원되는 비밀 검사 패턴을 참조하세요.

REST API를 사용하여 각 토큰의 최신 검증 상태 목록을 가져올 수 있습니다. 자세한 내용은 REST API 설명서에서 비밀 검사를 위한 REST API 엔드포인트을(를) 참조하세요. 웹후크를 사용하여 경고와 관련된 활동에 대한 알림을 받을 수도 있습니다 secret scanning . 자세한 내용은 secret_scanning_alert 이벤트를 참조하세요.

온디맨드 유효성 검사 수행

리포지토리에 대한 파트너 패턴에 대한 유효성 검사를 사용하도록 설정한 후에는 경고 보기에서 비밀 확인을 클릭하여 지원되는 비밀에 대해 "주문형" 유효성 검사를 수행할 수 있습니다. GitHub 는 관련 파트너에게 패턴을 보내고 경고 보기에 비밀의 유효성 검사 상태를 표시합니다.

secret scanning 경고를 보여주는 UI 스크린샷. "비밀 확인"이라고 표시된 버튼이 주황색 윤곽선으로 강조 표시됩니다.

토큰 메타데이터 검토 GitHub

참고

토큰에 대한 GitHub 메타데이터는 현재 공개 미리 보기에 있으며 변경될 수 있습니다.

활성 GitHub 토큰 경고에 대한 보기에서 토큰에 대한 특정 메타데이터를 검토할 수 있습니다. 이 메타데이터는 토큰을 식별하고 어떤 수정 단계를 수행할지 결정하는 데 도움이 될 수 있습니다.

토큰(예: personal access token 기타 자격 증명)은 개인 정보로 간주됩니다. GitHub 토큰 사용에 대한 자세한 내용은 GitHub 개인정보처리방침 허용 가능한 사용 정책을 참조하세요.

토큰 메타데이터를 보여주는 GitHub 토큰 UI 스크린샷.

토큰에 대한 GitHub 메타데이터는 비밀 검사를 사용하도록 설정된 모든 리포지토리의 활성 토큰에 사용할 수 있습니다. 토큰이 폐기되었거나 상태를 검증할 수 없으면 메타데이터를 사용할 수 없습니다. GitHub 공용 리포지토리에서 토큰을 자동으로 해지 GitHub 하므로 공용 리포지토리의 토큰에 대한 GitHub 메타데이터를 사용할 수 없습니다. 활성 GitHub 토큰에 사용할 수 있는 메타데이터는 다음과 같습니다.

메타데이터Description
비밀 이름
GitHub 토큰의 작성자가 붙인 이름
비밀 소유자
GitHub 토큰 소유자의 핸들입니다.
생성 일자토큰이 생성된 날짜
만료된 날짜토큰이 만료된 날짜
마지막 사용 날짜토큰이 마지막으로 사용된 날짜
Access토큰에 조직 액세스가 있는지 여부

유출된 비밀을 포함하는 리포지토리에 대한 관리자 권한이 있는 사용자만 경고에 대한 보안 경고 세부 정보 및 토큰 메타데이터를 볼 수 있습니다. 엔터프라이즈 소유자는 이 목적을 위해 리포지토리에 대한 임시 액세스를 요청할 수 있습니다. 액세스 권한이 부여되면 유출된 GitHub 비밀을 포함하는 리포지토리의 소유자에게 알리고, 리포지토리 소유자 및 엔터프라이즈 감사 로그에 작업을 보고하고, 2시간 동안 액세스를 사용하도록 설정합니다.