GitHub 시크릿 스캐닝, 더 똑똑해지다!

by DD
2시간 전
조회수 2

GitHub 시크릿 스캐닝(Secret Scanning) 기능이 APIclub, Resend, VolcEngine의 새로운 시크릿 유형 탐지 및 차단 기능을 추가하며 보안 강화(Security Enhancement)를 추진함

Resend와의 파트너십을 통해 해당 서비스의 API 키 노출 시 즉각적인 대응 및 보안 커뮤니티 보호 강화

시크릿 스캐닝 웹훅에 시크릿 카테고리(Secret Category) 필드가 추가되어 특정 시크릿과 일반 시크릿 탐지를 구분할 수 있게 됨

공개 모니터링(Public Monitoring) 페이지에 기업 멤버 수, 검증된 도메인, 유출 출처별 분석 등 인사이트 카드가 추가되어 보안 현황 파악 용이성 증대

시크릿 스캐닝 파트너십 프로그램의 역할

GitHub의 시크릿 스캐닝 파트너십 프로그램은 API 키, 토큰 등 민감 정보 유출 방지를 목표로 함.

Resend와의 협력: Resend API 키를 탐지 대상으로 추가하여, 공개 저장소에서 발견 시 해당 정보를 Resend 측에 전달하여 비밀 키 폐기(Secret Revocation) 또는 관리자 알림을 지원함.

보안 커뮤니티 보호: 파트너십을 통해 다양한 서비스의 시크릿을 탐지함으로써 개발자 커뮤니티 전반의 보안 수준을 높이는 데 기여함.

확장성: 새로운 시크릿 발행자(Secret Issuer)는 GitHub 지원팀에 문의하여 파트너십 프로그램 참여 가능.

새로운 시크릿 탐지기(Detector) 추가

이번 업데이트로 APIclub의 apiclub_api_key와 Resend의 resend_api_key가 시크릿 스캐닝의 자동 탐지 목록에 포함됨.

파트너 시크릿(Partner Secrets): 공개 저장소에서 발견 시 파트너에게 즉시 보고됨.

사용자 시크릿(User Secrets): 공개 및 비공개 저장소 모두에서 발견 시 시크릿 스캐닝 경고를 생성함.

이는 탐지 대상 시크릿 유형을 확장하여 잠재적 보안 위협에 대한 방어 범위를 넓히는 조치임.

Push Protection 기본값 확장

VolcEngine의 `volcengine_ark_api_key`가 Push Protection의 기본 탐지 목록에 포함됨.

기본 적용: 시크릿 스캐닝이 활성화된 모든 저장소(무료 공개 저장소 포함)에서 해당 시크릿을 포함하는 커밋을 자동으로 차단함.

보안 강화: 개발 초기 단계에서 민감 정보가 커밋되는 것을 방지하여 데이터 유출 사고(Data Leak Incidents)를 사전에 차단하는 데 중점을 둠.

웹훅 페이로드의 시크릿 카테고리 필드

시크릿 스캐닝 경고 웹훅 페이로드에 `secret_category` 필드가 추가되어 탐지된 시크릿 유형을 구분할 수 있게 됨.

`default`: 제공업체 패턴 및 사용자 정의 패턴을 포함하는 경우.

`generic`: 일반 패턴 및 AI 탐지 시크릿을 포함하는 경우.

이는 사용자가 자체 통합 및 자동화 시스템에서 경고를 필터링하고 라우팅하는 데 편의성을 증대시키며, 탐지 결과의 명확성을 높임.

공개 모니터링 인사이트 카드

공개 모니터링 경고 목록 상단에 인사이트 카드(Insight Cards)가 새롭게 표시됨.

유출 출처별 분석: 멤버 활동(기업 멤버의 커밋) 및 검증된 도메인(기업 도메인 이메일) 기반으로 유출 현황을 파악.

기업 멤버 수 및 검증된 도메인 정보를 함께 제공하여 보안팀이 노출 범위(Scope of Exposure)를 신속하게 평가하도록 지원함.

이는 개별 경고를 자세히 확인하기 전에 전체적인 보안 상황에 대한 맥락을 제공하는 데 목적이 있음.

Improvements to secret scanning and public monitoring