Skip to content
GitHub 보안 리스크 평가

조직이 얼마나 노출되어 있나요? 무료 평가를 실행해 파악하세요.

GitHub 리스크 평가에서는 사용자의 리포지토리를 스캔해 노출된 자격 증명과 코드 취약성을 찾아냅니다. 따라서 사용자가 실제 환경에서 결과를 평가하고 GitHub의 보안 제품이 도입 가치가 있는지 결정할 수 있습니다.

평가 실행 데모 요청

secret 리스크 평가

조직의 모든 리포지토리에서 유출된 자격 증명을 찾으세요. 유출된 자격 증명이 어디에 있는지, 어떤 카테고리가 자주 나타나는지, push 보호를 사용했다면 몇 개를 방지할 수 있었는지를 확인할 수 있습니다.

코드 보안 리스크 평가

활발히 사용되는 리포지토리를 20개까지 스캔할 수 있습니다. 심각도, 규칙, 언어별로 취약성을 확인할 수 있으며, Copilot Autofix 제안을 적용할 수 있는 취약성이 몇 개인지도 확인할 수 있습니다.

결과에서 확인할 수 있는 사항

결과를 토대로 팀에 브리핑하고 고위험 리포지토리를 파악하고 Secret Protection과 Code Security를 스택에 도입할지를 결정할 수 있습니다.

작동 방식

평가 실행

조직 관리자 또는 보안 관리자가 스캔을 시작합니다. secret 리스크 평가에서는 조직의 모든 리포지토리를 검사합니다. 코드 보안 리스크 평가에서는 사용자가 선택한 최대 20개의 리포지토리를 스캔합니다. 보고서가 준비되면 GitHub에서 이메일을 발송합니다.

GitHub Secret Protection and Code Security settings in a Scan organization dialog, with checkboxes and a Continue button to start the risk assessment.

결과 검토

Code Security 탭과 Secret Protection 탭을 열고 각 스캔 결과를 확인합니다. Secret Protection 탭은 리포지토리가 처리될 때마다 실시간으로 스트리밍됩니다. Code Security 탭은 전체 스캔이 끝나면 채워집니다.

GitHub Code Security dashboard showing 20 repositories scanned, 500 vulnerabilities found, and Copilot Autofix 480/500, with breakdowns by language and top repository monalisa-repo.

후속 단계 결정

자격이 있는 엔터프라이즈 관리자라면 리스크 평가에서 바로 GitHub Advanced Security 평가판을 시작할 수 있습니다. 셀프서비스 평가판 이용 자격이 없는 경우에는 평가에서 바로 Secret Protection이나 Code Security를 활성화하거나 GitHub의 전문가와 상담할 수 있습니다.

Security assessments interface shows Code Security and Secret Protection with scan completed metrics and a Start trial call to action.

실제 리포지토리를 검사하고, 실제 결과를 검토하고, 직접 결정하세요.

실제 코드 테스팅

대다수 보안 평가에서는 벤치마크나 데모, 커버리지 테이블을 활용합니다. GitHub 보안 리스크 평가에서는 사용자 소유 리포지토리를 분석합니다. 따라서 사용자가 개발자의 실제 배포 사항을 기반으로 결과를 평가할 수 있습니다.

가정 대신 증거를 기반으로 결정

실제 환경에서 결과를 확인하고 GitHub 보안 제품이 적합한지 결정하세요.

유효성 입증 또는 문제점 식별

결과가 깨끗하다면 현재 시행 중인 보안 관행이 효과가 있다는 증거입니다. 자격 증명, 취약성, 영향을 받은 리포지토리 등 문제점이 발견된다면 조치를 취해야 할 객관적인 근거가 됩니다.

사실을 기반으로 결정

평가를 실행하세요. 결과를 검토하세요. 후속 단계를 결정하세요.

평가 실행 데모 요청

자주 묻는 질문

어떤 GitHub 요금제와 역할에서 보안 리스크 평가를 실행할 수 있나요?

GitHub Team 또는 GitHub Enterprise Cloud 요금제를 이용해야 하며 조직 소유자와 보안 관리자여야 합니다. 코드 보안 리스크 평가는 GitHub Enterprise Server 3.22에서 지원됩니다.

GitHub 보안 리스크 평가 비용은 얼마인가요?

비용이 들지 않습니다. 코드 스캔 실행에 사용되는 GitHub Actions 시간(분)을 포함해 평가는 무료입니다. 평가 중에는 GitHub Code Security 또는 Secret Protection 라이선스 요금이 부과되지 않습니다.

GitHub 보안 리스크 평가를 완료하는 데 얼마나 걸리나요?

대부분 30분 내에 스캔이 끝납니다. 규모가 크거나 복잡성이 높은 조직의 경우 시간이 더 걸릴 수 있습니다. 보고서가 준비되면 GitHub에서 이메일을 발송합니다. Secret Protection 탭은 리포지토리가 스캔될 때 실시간으로 업데이트되고, Code Security 탭은 전체 스캔이 끝나면 채워집니다.

GitHub 보안 리스크 평가는 얼마나 자주 실행할 수 있나요?

90일마다 실행할 수 있습니다. 매번 스캔할 리포지토리를 변경할 수 있습니다.

GitHub 보안 리스크 평가에서는 무엇을 스캔하나요?

secret의 경우 GitHub는 조직의 리포지토리를 검사해 공급자 패턴과 일반 패턴을 기반으로 노출된 자격 증명을 찾습니다. 코드의 경우 GitHub는 CodeQL을 사용해 최대 20개의 리포지토리를 스캔합니다. 최근 90일간 커밋 활동이 가장 활발하게 일어난 리포지토리가 기본으로 선택됩니다. 스캔을 실행하기 전에 선택을 변경할 수 있습니다.

GitHub 평가를 실행하면 기존 코드 스캔 데이터가 영향을 받나요?

아니요. 리스크 평가에서는 별도의 업로드 경로를 사용하며, 리포지토리의 기존 코드 스캔 경고를 수정하거나 경고에 지장을 주지 않습니다.

GitHub 보안 리스크 평가에서 아무 문제도 발견되지 않았다는 건 어떤 의미인가요?

좋은 신호입니다. 현재 보안 관행이 잘 작동하고 있다는 증거입니다. 90일마다 다시 실행해 현 상태가 유지되는지 확인하세요.

What can I do after reviewing my GitHub security risk assessment results?

Eligible enterprise admins can start a GitHub Advanced Security trial directly from the risk assessment. Depending on your eligibility, you can enable Secret Protection or Code Security, start a GitHub Advanced Security trial, or contact GitHub to speak with an expert. 

GitHub는 보안 리스크 평가 결과를 영업 팀과 공유하나요?

사용자가 동의한 경우에만 그렇습니다. 동의를 얻은 평가에 한해 담당 어카운트 팀과 연락처 세부 정보를 공유하여 해당 팀이 후속 조치를 취할 수 있도록 합니다. 사용자가 동의하지 않은 경우에는 개인 정보나 평가 세부 정보를 첨부하지 않고 조직이 평가를 실행했다는 사실만 담당 어카운트 팀에 알립니다.