{"meta":{"title":"GitHub 비밀 보호의 영향 평가","intro":"조직 전체에서 비밀 노출을 줄이는 방법을 GitHub Secret Protection 측정하여 가치를 입증하고 영역을 식별하여 보안 태세를 강화할 수 있습니다.","product":"보안 및 코드 품질","breadcrumbs":[{"href":"/ko/enterprise-server@3.20/code-security","title":"보안 및 코드 품질"},{"href":"/ko/enterprise-server@3.20/code-security/tutorials","title":"Tutorials"},{"href":"/ko/enterprise-server@3.20/code-security/tutorials/remediate-leaked-secrets","title":"유출된 비밀 수정"},{"href":"/ko/enterprise-server@3.20/code-security/tutorials/remediate-leaked-secrets/assessing-ghsp-impact","title":"GHSP 영향 평가"}],"documentType":"article"},"body":"# GitHub 비밀 보호의 영향 평가\n\n조직 전체에서 비밀 노출을 줄이는 방법을 GitHub Secret Protection 측정하여 가치를 입증하고 영역을 식별하여 보안 태세를 강화할 수 있습니다.\n\n## 소개\n\n조직에 대해 GHSP 사용을 설정한 후, 그 영향을 평가하고 그것이 조직을 어떻게 보호하는지 이해해야 합니다. 이 자습서에서는 비밀 관련 데이터에 액세스하고 결과를 해석하여 GHSP 성능을 측정하는 방법을 안내합니다.\n\n이 자습서에서는 다음 방법을 알아봅니다.\n\n* 조직의 보안 개요에 액세스하여 데이터 보기 secret scanning\n* secret risk assessment (SRA) 보고서를 검토하세요.\n* 데이터를 비교 및 분석하여 GHSP의 영향 평가\n\nGHSP 출시 이전의 역사적인 SRA 보고서가 없는 경우에도 GHSP의 효과를 평가할 수 있습니다.\n[4단계: 보안 개요 데이터 추세 분석](#step-4-analyze-security-overview-data-trends)으로 건너뜁니다.\n\n## 사전 요구 사항\n\n* 조직 소유자 또는 보안 관리자 역할이 있어야 합니다.\n* Secret Protection 은 조직에서 활성화되어야 합니다.\n\n## 1단계: 조직 수준 보안 개요 액세스\n\n보안 개요는 조직 전체에 대한 비밀 검사 경고 실시간 데이터를 제공합니다.\n\n1. GitHub에서 조직의 기본 페이지로 이동합니다.\n2. 조직 이름 아래에서 탭을 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** 클릭합니다.\n3. 보안 개요 페이지에서 **위험** 탭을 클릭하여 비밀 검사 데이터를 봅니다.\n   개요는 다음을 보여줍니다.\n   * 총 열림 수 비밀 검사 경고\n   * 시간에 따른 경고 추세\n   * 리포지토리별 분석\n   * 경고 심각도 분포\n\n## 2단계: secret risk assessment 보고서 보기\n\n이전에 SRA 보고서를 실행한 경우 보고서에 액세스하여 기준을 설정할 수 있습니다.\n\n1. GitHub에서 조직의 기본 페이지로 이동합니다.\n2. 조직 이름 아래에서 탭을 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** 클릭합니다.\n3. 사이드바의 \"보안\"에서 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-key\" aria-label=\"key\" role=\"img\"><path d=\"M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z\"></path></svg> 평가**를 클릭합니다.\n4. 다음을 포함하여 평가의 주요 메트릭을 검토합니다.\n   * 탐지된 노출된 비밀의 수\n   * 찾은 비밀 유형\n   * 위험이 가장 높은 리포지토리\n   * 권장되는 수정 작업\n\n> \\[!NOTE] SRA 보고서는 GHSP 구현 전이나 도중에 비밀 노출의 지정 시간 스냅샷을 나타냅니다.\n\n## 3단계: SRA 데이터와 현재 보안 개요 비교\n\nSRA 보고서는 GHSP 롤아웃 전후에 수행된 **지정 시간** 스냅샷이며, 보안 개요는 경고가 열리고 해결될 때 업데이트되는 **실시간** 데이터를 보여 줍니다. 의미 있는 비교를 수행하려면 두 데이터 세트가 동일한 비밀 형식을 포함하도록 해야 합니다.\n\n### 비교 가능한 패턴 형식으로 필터링\n\nSRA 보고서는 **공급자 패턴** 및 **제네릭 패턴**만 검색합니다. 그러나 보안 개요에는 GHSP를 사용하도록 설정한 이후 구성한 사용자 지정 패턴의 결과도 포함될 수 있습니다. 정확한 비교를 보장하려면 보안 개요를 SRA에서 다루는 것과 동일한 패턴 형식으로 필터링합니다.\n\n#### UI 사용\n\n보안 개요 **위험** 탭에서 필터 막대를 사용하여 사용자 지정 패턴을 제외하고 결과를 공급자 및 제네릭 패턴으로만 좁힐 수 있습니다.\n\n#### API 사용\n\n또는 REST API를 사용하여 비밀 유형으로 필터링된 경고를 프로그래밍 방식으로 검색할 수 있습니다. 예를 들어 리포지토리에 대한 기본값(공급자) 비밀 검사 경고 만 나열하려면 다음을 수행합니다.\n\n```shell copy\ngh api \\\n  -H \"Accept: application/vnd.github+json\" \\\n  /orgs/ORG/secret-scanning/alerts --paginate\n```\n\n기본 패턴에 대해서만 경고를 반환합니다. 결과에 제네릭 패턴도 포함하려면 매개 변수를 사용하여 `secret_type` 특정 토큰 이름을 전달합니다.\n\n자세한 내용은 [비밀 검사를 위한 REST API 엔드포인트](/ko/enterprise-server@3.20/rest/secret-scanning/secret-scanning)을(를) 참조하세요.\n\n### 비교를 구성하세요\n\n1. 필터링된 데이터를 사용하여 다음 주요 메트릭을 사용하여 비교 테이블을 만듭니다.\n\n   | Metric       | SRA 보고서(기준) | 현재 보안 개요(필터링됨) | Change |\n   | ------------ | ----------- | -------------- | ------ |\n   | 노출된 총 비밀     | \\[SRA 번호]   | \\[현재 번호]       | \\[차이점] |\n   | 중요 알림        | \\[SRA 번호]   | \\[현재 번호]       | \\[차이점] |\n   | 영향을 받는 리포지토리 | \\[SRA 번호]   | \\[현재 번호]       | \\[차이점] |\n\n2. 각 메트릭의 백분율 변경률을 계산합니다.\n   * **긍정적인 영향 지표:** 노출된 총 비밀 감소, 중요한 경고 감소\n   * **개선 영역:** 새로운 경고가 나타나고 추세가 증가하는 특정 리포지토리\n\n3. 다음과 같은 중요한 차이점을 기록해 둡니다.\n   * 감지되는 비밀 형식\n   * 리포지토리 범위\n   * 경고 해결 속도\n\n## 4단계: 보안 개요 데이터 추세 분석\n\nSRA 보고서가 없더라도 보안 개요의 추세를 분석하여 GHSP 효율성을 평가할 수 있습니다.\n\n1. GitHub에서 조직의 기본 페이지로 이동합니다.\n\n2. 조직 이름 아래에서 탭을 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** 클릭합니다.\n\n3. 보안 개요 **위험** 탭에서 시간에 따라 표시되는 비밀 검사 경고 추세 그래프를 확인합니다.\n\n4. 패턴 식별:\n   * **감소 추세:** 성공적인 수정 및 방지를 나타냅니다.\n   * **고원:** 안정적인 상태를 제안하거나 인식 향상에 대한 필요성을 제안할 수 있습니다.\n   * **상승 추세:** 탐지 범위 증가 또는 새로운 비밀 소개를 나타낼 수 있습니다.\n\n5. 개별 리포지토리를 클릭하여 특정 경고 세부 정보로 드릴다운합니다.\n\n6. 경고 해결 속도를 검토합니다.\n   * 조직의 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security** 탭으로 이동하세요.\n   * \"결과\"에서 을 클릭합니다 **Secret scanning**.\n   * 닫힌 경고 수와 열려 있는 경고 수를 확인합니다.\n   * 관심 있는 경고 유형을 선택합니다.\n   * 평균 해결 시간을 평가합니다.\n\n## 5단계: 결과 해석 및 작업 수행\n\n분석에 따라 다음 단계를 결정합니다.\n\n### 긍정적인 추세가 표시되는 경우\n\n* GHSP 값을 보여 주는 개선 사항 문서화\n* 다른 리포지토리 간에 복제하는 성공적인 사례 식별\n* 추가 리포지토리 또는 조직으로 GHSP 적용 범위를 확장하는 것이 좋습니다.\n\n### 개선해야 할 영역이 표시되는 경우\n\n* 경고 증가 또는 느린 해결 시간을 사용하여 리포지토리 검토\n* 개발 팀에 추가 교육 제공\n* 사용자 지정 패턴을 구성해야 하는지 여부 평가\n* 새 비밀이 도입되지 않도록 푸시 보호가 사용되는지 확인\n\n### 지속적인 모니터링\n\n* 매주 또는 매월 보안 개요를 정기적으로 검토하도록 예약하십시오.\n* 새로운 비밀 검사 경고에 대한 알림 설정\n* 시간이 지남에 따라 메트릭을 추적하여 지속적인 개선을 보여 줍니다.\n\n## 추가 읽기\n\n* 메트릭을 자세히 이해 secret scanning 하려면 [보안 인사이트 보기](/ko/enterprise-server@3.20/code-security/security-overview/viewing-security-insights)을 참조하세요."}