{"meta":{"title":"GitHub 보안 기능","intro":"GitHub의 보안 기능에 대한 개요입니다.","product":"보안 및 코드 품질","breadcrumbs":[{"href":"/ko/enterprise-cloud@latest/code-security","title":"보안 및 코드 품질"},{"href":"/ko/enterprise-cloud@latest/code-security/getting-started","title":"시작"},{"href":"/ko/enterprise-cloud@latest/code-security/getting-started/github-security-features","title":"GitHub 보안 기능"}],"documentType":"article"},"body":"# GitHub 보안 기능\n\nGitHub의 보안 기능에 대한 개요입니다.\n\n## 보안 기능 정보 GitHub\n\n```\n          GitHub'의 보안 기능은 리포지토리 및 조직 전체에서 코드와 비밀을 안전하게 유지하는 데 도움이 됩니다.\n```\n\n* 일부 기능은 모든 GitHub 계획에 사용할 수 있습니다.\n* 조직  및 기업이 GitHub Team 및 GitHub Enterprise Cloud에서 제품GitHub Advanced Security을 구매하는 경우 추가 기능을 사용할 수 있습니다.\n  * [GitHub Secret Protection](#available-with-github-secret-protection)\n  * [GitHub Code Security](#available-with-github-code-security)\n* 또한 다양한 GitHub Secret ProtectionGitHub Code Security 기능을 공용 리포지토리에서 무료로 실행할 수 있습니다.\n\n## 모든 GitHub 플랜에 사용 가능\n\n사용 중인 계획에 관계없이 GitHub 사용할 수 있는 보안 기능은 다음과 같습니다.\n이러한 기능을 사용하기 위해 구매할 GitHub Secret Protection or GitHub Code Security 필요가 없습니다.\n\n이러한 기능의 대부분은 공용, 내부 및 프라이빗 리포지토리에 사용할 수 있습니다.\n일부 기능은 퍼블릭 리포지토리\\_에만\\_ 사용할 수 있습니다.\n\n### 보안 정책\n\n사용자가 리포지토리에 있는 보안 취약성을 기밀로 쉽게 보고할 수 있도록 합니다. 자세한 내용은 [Adding a security policy to your repository(리포지토리에 보안 정책 추가)](/ko/enterprise-cloud@latest/code-security/getting-started/adding-a-security-policy-to-your-repository)을(를) 참조하세요.\n\n### 종속성 그래프\n\n종속성 그래프를 사용하면 리포지토리가 의존하는 에코시스템 및 패키지와 리포지토리에 종속된 리포지토리 및 패키지를 탐색할 수 있습니다.\n\n리포지토리의 **인사이트** 탭에서 종속성 그래프를 찾을 수 있습니다. 자세한 내용은 [종속성 그래프 정보](/ko/enterprise-cloud@latest/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph)을(를) 참조하세요.\n\n### 소프트웨어 자재 명세서 (SBOM)\n\n리포지토리의 종속성 그래프를 SPDX 호환 SBOM(소프트웨어 제품 구성 정보)으로 내보낼 수 있습니다. 자세한 내용은 [리포지토리에 대한 소프트웨어 자료 청구서 내보내기](/ko/enterprise-cloud@latest/code-security/supply-chain-security/understanding-your-software-supply-chain/exporting-a-software-bill-of-materials-for-your-repository)을(를) 참조하세요.\n\n### GitHub Advisory Database\n\n여기에는 GitHub Advisory Database 보고, 검색하고, 필터링할 수 있는 보안 취약성의 큐레이팅된 목록이 포함되어 있습니다. 자세한 내용은 [GitHub Advisory Database에서 보안 권고 탐색](/ko/enterprise-cloud@latest/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/browsing-security-advisories-in-the-github-advisory-database)을(를) 참조하세요.\n\n###\n\n```\n          Dependabot alerts 및 보안 업데이트\n```\n\n보안 취약성이 포함된 것으로 알려진 종속성에 대한 경고를 보고 이러한 종속성을 업데이트하기 위해 끌어오기 요청을 자동으로 생성할지 여부를 선택합니다. 자세한 내용은 [Dependabot 경고 정보](/ko/enterprise-cloud@latest/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) 및 [Dependabot 보안 업데이트 정보](/ko/enterprise-cloud@latest/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)을(를) 참조하세요.\n\n```\n          Dependabot 자동 심사 규칙에서 큐레이팅한 GitHub 기본값을 사용하여 상당한 양의 가양성을 자동으로 필터링할 수도 있습니다.\n```\n\nDependabot에서 제공하는 다양한 기능에 대한 개요 및 시작하는 방법에 대한 지침은 [Dependabot 빠른 시작 가이드](/ko/enterprise-cloud@latest/code-security/getting-started/dependabot-quickstart-guide)을(를) 참조하세요.\n\n#### Dependabot malware alerts\n\n```\n          GitHub.com\n          GitHub Enterprise Server 3.22 이상에서는 리포지토리에서 악의적인 종속성에 대한 경고를 볼 수 있습니다. \n          [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts)을(를) 참조하세요.\n```\n\n### Dependabot version updates\n\n```\n          Dependabot을 사용하여 종속성을 최신 상태로 유지하기 위해 자동으로 끌어오기 요청을 생성합니다. 이렇게 하면 이전 버전의 종속성에 대한 노출을 줄이는 데 도움이 됩니다. 최신 버전을 사용하면 보안 취약성이 검색될 경우 패치를 더 쉽게 적용할 수 있으며, 취약한 종속성을 업그레이드하기 위한 Dependabot security updates 끌어오기 요청을 쉽게 발생시킬 수 있습니다. 사용자 설정을 통해 Dependabot version updates이 리포지토리에 쉽게 통합되도록 할 수도 있습니다. 자세한 내용은 [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates)을(를) 참조하세요.\n```\n\n### 보안 공지\n\n퍼블릭 리포지토리의 코드에서 보안 취약성을 프라이빗으로 논의하고 해결합니다. 그런 다음 보안 공지를 게시하여 커뮤니티에 취약성을 알리고 커뮤니티 멤버가 업그레이드하도록 장려할 수 있습니다. 자세한 내용은 [리포지토리 보안 공지 정보](/ko/enterprise-cloud@latest/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories)을(를) 참조하세요.\n\n### 리포지토리 규칙 집합\n\n분기와 태그에서 일관된 코드 표준, 보안, 규정 준수를 적용합니다. 자세한 내용은 [규칙 세트에 대한 정보](/ko/enterprise-cloud@latest/repositories/configuring-branches-and-merges-in-your-repository/managing-rulesets/about-rulesets)을(를) 참조하세요.\n\n### 아티팩트 증명\n\n빌드하는 소프트웨어에 대해 신뢰할 수 없는 출처와 무결성 보장을 만듭니다. 자세한 내용은 [아티팩트 증명을 사용하여 빌드의 출처 설정](/ko/enterprise-cloud@latest/actions/security-for-github-actions/using-artifact-attestations/using-artifact-attestations-to-establish-provenance-for-builds)을(를) 참조하세요.\n\n### 파트너에 대한 비밀 검사 경고\n\n```\n          GitHub 공용 리포지토리 또는 공용 npm 패키지 GitHub 에서 유출된 비밀을 감지하면 관련 서비스 공급자에게 비밀이 손상될 수 있음을 알릴 수 있습니다. 지원하는 비밀 및 서비스 공급자에 대한 개요는 [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets)을(를) 참조하세요.\n```\n\n### 사용자에 대한 푸시 보호\n\n사용자에 대한 푸시 보호는 리포지토리 자체가 secret scanning 사용하도록 설정되었는지 여부에 관계없이 실수로 공용 리포지토리에 비밀을 커밋하지 않도록 자동으로 보호합니다. 사용자에 대한 푸시 보호는 기본값이 ON이지만, 언제든 개인 계정 설정을 통해 이 기능을 사용 중지할 수 있습니다. 자세한 내용은 [사용자에 대한 푸시 보호 관리](/ko/enterprise-cloud@latest/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users)을(를) 참조하세요.\n\n## 다음과 함께 사용 가능 GitHub Secret Protection\n\n계정 GitHub Team 및 GitHub Enterprise Cloud에서 **GitHub Secret Protection** 을(를) 구매하면 추가 보안 기능을 사용할 수 있습니다.\n\n```\n          GitHub Secret Protection 에는 자격 증명 누수 및 비밀 스프롤을 감지하고 방지하는 데 도움이 되는 기능(예: secret scanning 하드 코딩된 자격 증명 검색 및 리포지토리에 도달하기 전에 차단을 위한 푸시 보호)이 포함되어 있습니다.\n```\n\n이러한 기능은 모든 리포지토리 유형에 사용할 수 있습니다.\n이러한 기능 중 일부는 공용 리포지토리에 무료로 사용할 수 있습니다. 즉, 공용 리포지토리에서 기능을 사용하도록 설정하기 위해 구매할 GitHub Secret Protection 필요가 없습니다.\n\n<!--Hiding information on setting up a trial for now, as there is no available link for fpt yet. Needs versioning for fpt, ghec and ghes.\nFor information about how you can try GitHub Secret Protection for free, see [AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security).\n-->\n\n### 사용자에 대한 비밀 검사 경고\n\n리포지토리에 체크 인된 하드 코드된 자격 증명을 자동으로 검색합니다. 코드에서 GitHub가 찾은 비밀에 대한 경고를 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** 탭의 리포지토리에서 볼 수 있으므로 자격 증명 누수에 신속하게 대응할 수 있습니다. 자세한 내용은 [비밀 검사 정보](/ko/enterprise-cloud@latest/code-security/secret-scanning/introduction/about-secret-scanning)을(를) 참조하세요.\n\n기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.\n\n### Copilot 비밀 스캔\n\n```\n          Copilot 비밀 스캔'의 일반 비밀 검색은 소스 코드에서 구조화되지 않은 비밀(암호)을 식별한 다음 경고를 생성하는 AI 기반 확장 secret scanning 입니다. 자세한 내용은 [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets)을(를) 참조하세요.\n```\n\n### 푸시 보호\n\n푸시 보호는 푸시 프로세스 중에 하드 코딩된 비밀을 위해 코드 및 리포지토리 기여자의 코드를 사전에 검사하고 자격 증명 누출이 감지되면 푸시를 차단합니다. 기여자가 블록을 우회하면 경고가 생성됩니다. 자세한 내용은 [푸시 보호에 대해](/ko/enterprise-cloud@latest/code-security/secret-scanning/introduction/about-push-protection)을(를) 참조하세요.\n\n기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.\n\n### 푸시 보호를 위해 위임된 바이패스 사용\n\n푸시 보호를 위해 위임된 바이패스를 사용하면 개인, 역할 및 팀을 제어할 수 있습니다.\n\n* 푸시 보호를 무시할 수 있습니다.\n* 푸시 보호에서 제외됩니다.\n* 다른 기여자로부터의 바이패스 요청을 검토할 수 있습니다.\n\n자세한 내용은 [푸시 보호를 위한 위임 바이패스에 대해](/ko/enterprise-cloud@latest/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection)을(를) 참조하세요.\n\n### 사용자 지정 패턴\n\n사용자 지정 패턴을 정의함으로써, secret scanning의 기본 패턴으로 탐지되지 않는 비밀 정보, 예를 들어 조직 내부에서 사용하는 패턴, 을 식별할 수 있습니다. 자세한 내용은 [비밀 검사를 위한 사용자 지정 패턴 정의](/ko/enterprise-cloud@latest/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/custom-patterns/defining-custom-patterns-for-secret-scanning)을(를) 참조하세요.\n\n<!--Hiding security overview for earlier GHES versions, so it isn't duplicated below-->\n\n### 보안 개요\n\n보안 개요를 사용하면 조직의 전반적인 보안 환경을 검토하고, 추세 및 기타 인사이트를 보며, 보안 구성을 관리할 수 있으므로 조직의 보안 상태를 쉽게 모니터링하고 가장 큰 위험에 처한 리포지토리 및 조직을 식별할 수 있습니다. 자세한 내용은 [보안 개요](/ko/enterprise-cloud@latest/code-security/security-overview/about-security-overview)을(를) 참조하세요.\n\n## 다음과 함께 사용 가능 GitHub Code Security\n\n계정 GitHub Team 및 GitHub Enterprise Cloud에서 **GitHub Code Security** 을(를) 구매하면 추가 보안 기능을 사용할 수 있습니다.\n\n```\n          GitHub Code Security 에는 취약성(예: code scanning프리미엄 Dependabot 기능 및 종속성 검토)을 찾고 수정하는 데 도움이 되는 기능이 포함되어 있습니다.\n```\n\n이러한 기능은 모든 리포지토리 유형에 사용할 수 있습니다.\n이러한 기능 중 일부는 공용 리포지토리에 무료로 사용할 수 있습니다. 즉, 공용 리포지토리에서 기능을 사용하도록 설정하기 위해 구매할 GitHub Code Security 필요가 없습니다.\n\n<!--Hiding information on setting up a trial for now, as there is no available link for fpt yet. Needs versioning for fpt, ghec & ghes.\n\nFor information about how you can try GitHub Code Security for free, see [AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security).\n\n-->\n\n### Code scanning\n\n새 코드 또는 수정된 코드에서 보안 취약성 및 코딩 오류를 자동으로 검색합니다. 잠재적인 문제가 세부 정보와 함께 강조 표시되어 기본 분기에 병합되기 전에 코드를 수정할 수 있습니다. 자세한 내용은 [코드 검사 정보](/ko/enterprise-cloud@latest/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning)을(를) 참조하세요.\n\n기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.\n\n### CodeQL CLI\n\n소프트웨어 프로젝트에서 CodeQL을 로컬로 실행하거나, code scanning에 업로드할 GitHub 결과를 생성합니다. 자세한 내용은 [CodeQL CLI에 대해](/ko/enterprise-cloud@latest/code-security/codeql-cli/getting-started-with-the-codeql-cli/about-the-codeql-cli)을(를) 참조하세요.\n\n기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.\n\n### 코파일럿 자동 수정\n\n```\n          code scanning 경고에 대해 자동으로 생성된 수정 사항을 가져옵니다. 자세한 내용은 [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning)을(를) 참조하세요.\n```\n\n기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.\n\n###\n\n```\n          사용자 지정 자동 심사 규칙에 대한 Dependabot입니다.\n```\n\nDependabot alerts을(를) 대규모로 관리하는 데 도움이 됩니다. 사용자 지정 자동 심사 규칙을(를) 이용하면 무시하거나 다시 알릴 알림을 제어할 수 있고, 아니면 Dependabot 보안 업데이트를 트리거할 수 있습니다. 자세한 내용은 [Dependabot 경고 정보](/ko/enterprise-cloud@latest/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) 및 [Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정](/ko/enterprise-cloud@latest/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)을(를) 참조하세요.\n\n### 종속성 검토\n\n종속성에 대한 변경 내용의 전체 영향을 표시하고 끌어오기 요청을 병합하기 전에 취약한 버전의 세부 정보를 확인합니다. 자세한 내용은 [종속성 검토 정보](/ko/enterprise-cloud@latest/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review)을(를) 참조하세요.\n\n기본적으로 퍼블릭 리포지토리에 사용할 수 있습니다.\n\n### 보안 캠페인\n\n보안 캠페인을 만들고 개발자와 공동 작업하여 보안 백로그를 소진함으로써 대규모 보안 경고를 수정할 수 있습니다. 자세한 내용은 [보안 캠페인 정보](/ko/enterprise-cloud@latest/code-security/securing-your-organization/fixing-security-alerts-at-scale/about-security-campaigns)을(를) 참조하세요.\n\n### 보안 개요\n\n보안 개요를 사용하면 조직의 전반적인 보안 환경을 검토하고, 추세 및 기타 인사이트를 보며, 보안 구성을 관리할 수 있으므로 조직의 보안 상태를 쉽게 모니터링하고 가장 큰 위험에 처한 리포지토리 및 조직을 식별할 수 있습니다. 자세한 내용은 [보안 개요](/ko/enterprise-cloud@latest/code-security/security-overview/about-security-overview)을(를) 참조하세요.\n\n## 보안 경고를 이해하기 위한 활용 깃허브 코파일럿 채팅\n\n라이선스를 GitHub Copilot Enterprise 사용하면 조직의 리포지토리에 있는 보안 경고를 더 잘 이해할 수 있도록 깃허브 코파일럿 채팅에 도움을 요청할 수도 있으며, 이는 GitHub Advanced Security 기능(code scanning, secret scanning, 및 Dependabot alerts)에서 제공됩니다. 자세한 내용은 [GitHub에서 GitHub Copilot에 질문하기](/ko/enterprise-cloud@latest/copilot/using-github-copilot/asking-github-copilot-questions-in-githubcom#asking-questions-about-alerts-from-github-advanced-security-features)을(를) 참조하세요.\n\n## 추가 참고 자료\n\n* [GitHub 계획](/ko/enterprise-cloud@latest/get-started/learning-about-github/githubs-plans)\n* [GitHub Advanced Security 정보](/ko/enterprise-cloud@latest/get-started/learning-about-github/about-github-advanced-security)\n* [GitHub 언어 지원](/ko/enterprise-cloud@latest/get-started/learning-about-github/github-language-support)"}