github-changelog깃헙

비밀 검사 기능 업데이트로 보안 강화!

by DD
1개월 전
조회수 4

Cloudflare를 포함한 새로운 탐지기(Detector) 추가로 비밀(Secret) 탐지 범위 확장

EMU(Enterprise Managed Users) 환경에서 포크(Fork)에 대한 푸시(Push) 보호 기능 상속 지원

Figma, GCP, Langchain 등 주요 서비스의 비밀 패턴을 푸시 보호 기본값(Default)에 추가

API를 통해 커스텀 패턴(Custom Pattern) 경고의 유효성(Validity) 설정 및 팀/토픽 필터링 지원

푸시(Push) 보호 기능 개선: 포크(Fork) 환경에서의 보안 강화

본문에서는 EMU(Enterprise Managed Users) 환경에서 푸시 보호(Push Protection) 기능이 개선되어, 사용자 소유 포크(Fork)가 라이선스된 상위 레포지토리(Repository)의 설정을 상속받도록 변경되었다고 설명한다.

상속 메커니즘(Inheritance Mechanism): 포크 계층 구조(Fork Hierarchy)에서 푸시 보호가 활성화된 레포지토리가 있으면, 하위 포크는 자동으로 해당 보호 설정을 적용받음

보안 사각지대(Security Blind Spot) 해소: 기존에는 포크 자체에 GHAS(GitHub Advanced Security) 라이선스가 있어야 푸시 보호가 적용되었으나, 이로 인해 발생할 수 있는 보안 취약점(Vulnerability)을 해결

자동화된 보안 정책(Automated Security Policy): 조직의 보안 정책을 포크 환경까지 일관되게 적용하여, 개발자가 실수로 비밀 정보를 커밋(Commit)하는 것을 방지

API를 통한 커스텀 패턴(Custom Pattern) 경고 유효성(Validity) 설정

글에 따르면, API를 통해 커스텀 패턴(Custom Pattern)에 대한 경고의 유효성을 설정하는 기능이 추가되었다.

유효성 상태 관리(Validity State Management): 개발자는 API를 사용하여 경고를 활성(Active), 비활성(Inactive) 상태로 설정하거나, 재정의(Override)를 초기화할 수 있음

API 엔드포인트(API Endpoint): `PATCH /repos/{owner}/{repo}/secret-scanning/alerts/{alert_number}`를 통해 유효성 필드(Validity Field)를 설정

실시간 반영(Real-time Reflection): 설정된 유효성 상태는 경고 상세 UI, 웹훅(Webhook) 페이로드(Payload), 감사 로그(Audit Log)에 즉시 반영

이 기능은 특히, 자동화된 유효성 검사(Automated Validity Checks)가 어려운 커스텀 패턴에 대한 수동 검토(Manual Review) 결과를 반영하는 데 유용하다.

API 개선: 필터링 및 정보 접근성 향상

본문에서는 API를 통한 비밀 검사 경고(Alert)에 대한 필터링 및 정보 접근성이 개선되었다고 설명한다.

제공자(Provider) 필드 추가: 경고 응답에 `provider` 및 `provider_slug` 필드가 추가되어, 경고를 제공하는 서비스(예: Stripe)를 식별 가능

필터링 기능 강화: `/repos`, `/orgs`, `/enterprises` 엔드포인트에서 `providers` 및 `exclude_providers` 쿼리 파라미터(Query Parameter)를 사용하여 제공자별 필터링 지원

AI 탐지(AI Detection) 결과 통합: 스캔(Scan) 기록 API에 AI 기반의 일반 비밀(Generic Secrets) 탐지 결과가 포함되어, 전반적인 탐지 결과의 가시성(Visibility) 향상

이러한 개선 사항은 자동화된 보안 워크플로우(Automated Security Workflow) 구축경고 관리 효율성(Alert Management Efficiency) 증대에 기여한다.

새로운 비밀 탐지 패턴 추가 및 기본값 확장

글에서는 Cloudflare를 포함한 새로운 비밀 유형(Secret Type)에 대한 탐지 지원이 추가되었으며, 푸시 보호 기본값(Push Protection Defaults)이 확장되었다고 설명한다.

탐지 범위 확장: Cloudflare의 `cloudflare_account_api_token`, `cloudflare_global_user_api_key`, `cloudflare_user_api_token` 등, 다양한 Cloudflare 관련 비밀을 탐지

푸시 보호 기본값 확장: Figma, GCP, Langchain, OpenVSX, PostHog 등, 주요 서비스의 비밀 패턴을 푸시 보호 기본값에 포함

보안 강화: 이러한 변경을 통해, 개발자가 실수로 비밀 정보를 커밋하는 것을 더욱 효과적으로 방지하고, 보안 사고(Security Incident) 발생 가능성을 감소

이러한 업데이트는 개발자의 보안 인식 제고(Security Awareness) 및 안전한 개발 환경 구축에 기여한다.

Secret scanning pattern updates and product improvements
원문 읽기