GitHub 시크릿 스캐닝, 더 똑똑해지다!
GitHub 시크릿 스캐닝(Secret Scanning) 기능이 APIclub, Resend, VolcEngine의 새로운 시크릿 유형 탐지 및 차단 기능을 추가하며 보안 강화(Security Enhancement)를 추진함
Resend와의 파트너십을 통해 해당 서비스의 API 키 노출 시 즉각적인 대응 및 보안 커뮤니티 보호 강화
시크릿 스캐닝 웹훅에 시크릿 카테고리(Secret Category) 필드가 추가되어 특정 시크릿과 일반 시크릿 탐지를 구분할 수 있게 됨
공개 모니터링(Public Monitoring) 페이지에 기업 멤버 수, 검증된 도메인, 유출 출처별 분석 등 인사이트 카드가 추가되어 보안 현황 파악 용이성 증대
시크릿 스캐닝 파트너십 프로그램의 역할
GitHub의 시크릿 스캐닝 파트너십 프로그램은 API 키, 토큰 등 민감 정보 유출 방지를 목표로 함.
Resend와의 협력: Resend API 키를 탐지 대상으로 추가하여, 공개 저장소에서 발견 시 해당 정보를 Resend 측에 전달하여 비밀 키 폐기(Secret Revocation) 또는 관리자 알림을 지원함.
보안 커뮤니티 보호: 파트너십을 통해 다양한 서비스의 시크릿을 탐지함으로써 개발자 커뮤니티 전반의 보안 수준을 높이는 데 기여함.
확장성: 새로운 시크릿 발행자(Secret Issuer)는 GitHub 지원팀에 문의하여 파트너십 프로그램 참여 가능.
새로운 시크릿 탐지기(Detector) 추가
이번 업데이트로 APIclub의 apiclub_api_key와 Resend의 resend_api_key가 시크릿 스캐닝의 자동 탐지 목록에 포함됨.
파트너 시크릿(Partner Secrets): 공개 저장소에서 발견 시 파트너에게 즉시 보고됨.
사용자 시크릿(User Secrets): 공개 및 비공개 저장소 모두에서 발견 시 시크릿 스캐닝 경고를 생성함.
이는 탐지 대상 시크릿 유형을 확장하여 잠재적 보안 위협에 대한 방어 범위를 넓히는 조치임.
Push Protection 기본값 확장
VolcEngine의 `volcengine_ark_api_key`가 Push Protection의 기본 탐지 목록에 포함됨.
기본 적용: 시크릿 스캐닝이 활성화된 모든 저장소(무료 공개 저장소 포함)에서 해당 시크릿을 포함하는 커밋을 자동으로 차단함.
보안 강화: 개발 초기 단계에서 민감 정보가 커밋되는 것을 방지하여 데이터 유출 사고(Data Leak Incidents)를 사전에 차단하는 데 중점을 둠.
웹훅 페이로드의 시크릿 카테고리 필드
시크릿 스캐닝 경고 웹훅 페이로드에 `secret_category` 필드가 추가되어 탐지된 시크릿 유형을 구분할 수 있게 됨.
`default`: 제공업체 패턴 및 사용자 정의 패턴을 포함하는 경우.
`generic`: 일반 패턴 및 AI 탐지 시크릿을 포함하는 경우.
이는 사용자가 자체 통합 및 자동화 시스템에서 경고를 필터링하고 라우팅하는 데 편의성을 증대시키며, 탐지 결과의 명확성을 높임.
공개 모니터링 인사이트 카드
공개 모니터링 경고 목록 상단에 인사이트 카드(Insight Cards)가 새롭게 표시됨.
유출 출처별 분석: 멤버 활동(기업 멤버의 커밋) 및 검증된 도메인(기업 도메인 이메일) 기반으로 유출 현황을 파악.
기업 멤버 수 및 검증된 도메인 정보를 함께 제공하여 보안팀이 노출 범위(Scope of Exposure)를 신속하게 평가하도록 지원함.
이는 개별 경고를 자세히 확인하기 전에 전체적인 보안 상황에 대한 맥락을 제공하는 데 목적이 있음.