뉴스 정보 뉴스 컴퓨터 소프트웨어 및 개발 Min-jun (민준) 4월 2, 2025 0 Comments

Github는 2024 년에 39m 비밀 누출을 발견했습니다. 여기에 우리가 돕기 위해하고있는 일이 있습니다.

어디를보아야하는지 알고 있다면 노출 된 비밀은 쉽게 찾을 수 있습니다. 비밀은 무단 접근을 방지해야하지만, 잘못된 손에는 몇 초 만에 언급 될 수 있습니다.

문제의 범위에 대한 아이디어를 제공하기 위해 3,900 만 비밀 2024 년에만 Github를 가로 질러 유출되었습니다.^{모든 분 Github는 푸시 보호로 여러 비밀을 차단합니다.^{그럼에도 불구하고 비밀 누출은 가장 일반적이며 예방 가능한 보안 사고 중 하나입니다. 우리는 이전에 상상할 수있는 것보다 더 빨리 코드를 개발함에 따라, 우리는 그 어느 때보 다 비밀을 누출하고 있습니다.}}

그렇기 때문에 Github에서 우리는 유출 된 토큰, 자격 증명 및 기타 비밀로 인한 위반을 막기 위해 노력하고 있습니다.비밀 노출에 대한 보호 보장은 모든 개발자가 내장되어 접근 할 수 있습니다.

오늘, 우리는 그것을 시작하고 있습니다 다음 Github Advanced Security의 진화우리의 지속적인 임무와 일치합니다 비밀을 지키십시오… 비밀.

비밀 보호 그리고 코드 보안이제 독립형 제품으로 제공됩니다
고급 보안 Github 팀 조직
무료, 조직 전체의 비밀 스캔 팀이 노출을 식별하고 줄이는 데 도움이됩니다.

다음은 비밀이 새는 방법, 우리가 그것을 막기 위해하고있는 일, 코드를 보호하기 위해 할 수있는 일입니다. 들어 오자.

비밀 누출은 어떻게 발생합니까?

오늘날 대부분의 소프트웨어는 개발자가 하루에 수십 번 처리하는 비밀 (신용, API 키, 토큰)에 달려 있습니다. 이러한 비밀은 종종 실수로 노출됩니다. 덜 직관적으로, 많은 수의 위반은 의도적으로 비밀을 드러내는 선의의 개발자들로부터 나옵니다. 개발자는 종종 민간 노출의 위험을 과소 평가하고 이러한 비밀을 순간적으로 편리하게 느끼지만 시간이 지남에 따라 위험을 초래하는 방식으로 이러한 비밀을 커밋, 공유 또는 저장.

불행히도, 이러한 무해한 비밀 노출은 전체 시스템을 풀고 자하는 공격자를 끌어들이는 작은 실입니다. 나쁜 행위자들은 고 부가가치 자산으로의 측면 이동을 위해 “위험이 낮은”비밀로 제공되는 발판을 사용하는 데 매우 능숙합니다. 내부자 위협의 위험이 없어도 GIT 역사 (또는 다른 곳)의 비밀을 지속하면 미래의 실수에 취약합니다. 연구에 따르면 실수로 실수로 저장소를 공개하는 것과 같은 실수로 실수는 2024 년에 그 어느 때보 다 높았습니다.

비밀 누출에 대해 더 많이 배우고 자신을 보호하는 방법에 관심이 있으시면 동료 Chris Reddington 의이 훌륭한 비디오를 확인하십시오.

https://www.youtube.com/watch?v=VMHDKT5Jnnn0

Github는 그것에 대해 무엇을하고 있습니까?

우리는 노출 된 비밀의 위험으로부터 개발자 커뮤니티를 보호하는 데 깊이 관심을 갖습니다. 몇 년 전, 우리는 공식적으로 업계 파트너십 프로그램을 시작했는데, 현재 AWS, Google Cloud Platform, Meta 및 OpenAI와 같은 수백 명의 토큰 발급 업체로 성장한 업계 파트너십 프로그램을 공식적으로 시작했습니다.

작년에, 우리는 공공 저장소에 대한 기본적으로 푸시 보호를 출시했으며, 이후 오픈 소스 커뮤니티의 수백만의 비밀을 차단했습니다.

마지막으로, 오늘날, 우리는 기능 가용성에 대한 추가 변경 사항을 출시하여 모든 규모의 조직이 노출 된 비밀의 위험으로부터 자신을 보호 할 수 있도록 지속적인 목표와 일치합니다. 유료 보안 도구를보다 저렴하게 만들기위한 새로운 가격 책정 계획; Github 팀 계획에 비밀 보호 및 코드 보안을 출시합니다.

노출 된 비밀로부터 자신을 보호하기 위해 할 수있는 일

Github 푸시 보호는 비밀 누출이 발생하기 전에 방지하는 데 도움이됩니다.

유출 된 비밀로부터 자신을 보호하는 가장 쉬운 방법은 처음에는 아무 것도 없다는 것입니다. 내장 솔루션 인 Push Protection은 우발적 노출에서 비밀을 차단하는 가장 간단한 방법입니다. 클라우드 제공 업체와 파트너십 프로그램을 통해 만든 것과 동일한 탐지기를 활용하여 비밀이 가장 낮은 오 탐지 비율로 빠르고 정확하게 잡히도록합니다.

연구에 따르면 Github Secret Protection은 모든 발견에서 두 가지 이상의 진정한 긍정적 속도로 1 개 이상을 주장 할 수있는 유일한 비밀 스캐닝 도구 인 유일한 비밀 스캐닝 도구입니다.^{. Github의 정밀 점수는 75%를 받았습니다 (다음 최고, 46% 정밀도와 비교). 오픈 소스 스캐닝 솔루션과 같은 대안과 비교할 때 Github이 비밀을 적게 찾는 것은 아닙니다. 우리가 실제 비밀을 찾고 있다는 것입니다. 그렇게하면, 당신은 당신의 시간을 허위 긍정적 인 것에 대해 덜 걱정하고, 중요한 것에 대해 더 많은 시간을 보낼 수 있습니다.}

장기 자격 증명은 누출 할 가장 일반적이고 위험한 비밀 유형 중 일부입니다. 그들은 종종 몇 달 또는 몇 년 동안 눈에 띄지 않으며 나쁜 행위자에게 확장 된 접근을 제공하기 때문입니다. 그렇기 때문에 전체 수명주기를 통해 비밀을 관리하는 것이 중요합니다.

푸시 보호를 넘어서, 비밀이 생성에서 취소에 이르기까지 비밀이 안전하게 관리되도록 보안 모범 사례를 통해 누출로부터 자신을 보호 할 수 있습니다.

창조: 최소 특권의 원칙을 따르고 비밀이 안전하게 생성되도록하십시오.
회전: 사용자 자격 증명 이외의 비밀은 정기적으로 회전해야합니다.
폐지: 더 이상 필요하지 않을 때 또는 타협 할 때 액세스를 제한하십시오.

비밀의 수명주기 동안, 가능할 때마다 인간의 상호 작용을 제거하고 비밀 관리를 자동화해야합니다.

또한 노출 감지를위한 지속적인 모니터링 솔루션을 채택하여 빠르게 반응 할 수 있습니다. Push Protection과 마찬가지로 Github의 비밀 스캔을위한 내장 솔루션은 이전에 유출 된 비밀을 심사하는 가장 간단한 방법입니다.

오늘부터 Github의 내장 보안 툴링에 대한 투자는 더 저렴하고 많은 팀에게는 Github Secret Protection (공개 리포지토리 무료), 새로운 시점 스캔 (모든 조직 저장소 무료) 외에도노출 된 비밀을 확인하기 위해 정기적으로 실행할 수 있습니다.

비밀 보호를 규모로 배포하고 관리하는 방법에 대해 자세히 알아보십시오.

https://www.youtube.com/watch?v=aaycmq5zpky

Github 비밀 보호 및 Github 코드 보안

Github Secret Protection 및 GitHub 코드 보안 소개

오늘부터 우리의 보안 제품입니다 AS를 구매할 수 있습니다 기업을위한 독립형 제품개발 팀이 보안을 빠르게 확장 할 수 있도록합니다. 이전에는 비밀 스캔 및 푸시 보호에 투자하려면 더 큰 보안 도구를 구매해야했으며, 이로 인해 많은 조직에 완전히 투자 할 수 없었습니다. 이 변화는 비밀 보호 및 코드 보안으로 확장 가능한 보안을 보장합니다. 더 이상 손이 닿지 않습니다 많은 조직에 대해.

Github Secret Protection은 Github 팀 조직이 구매할 수 있도록 여기에 있습니다.

또한 오늘날부터 독립형 보안 제품도 있습니다 GitHub 팀 조직을위한 애드온으로 제공됩니다. 이전에는 소규모 개발 팀이 Github Enterprise로 업그레이드하지 않고 보안 기능을 구매할 수 없었습니다. 이 변화는 우리의 보안 제품을 유지하도록합니다 저렴하고 접근 가능하며 배포하기 쉽습니다 모든 규모의 조직을 위해.

비밀이 노출 되었습니까? 새로운 공개 미리보기를 사용해보십시오

비밀 위험 평가는 Github 조직에서 이용할 수 있습니다

기존의 노출 비밀이 있는지 이해하는 것이 중요한 단계입니다. 오늘부터 조직에 대한 비밀 위험 평가를 실행할 수 있습니다.

비밀 위험 평가는 조직을위한 스캐닝 엔진을 활용하는 시점 스캔으로, 공개, 개인, 내부 및 보관 된 모든 저장소를 다루며 구매하지 않고 실행할 수 있습니다. 시점 인간 스캔은 보안을 강화하고 코드를 보호하기위한 실행 가능한 단계와 함께 조직 전체의 비밀 노출에 대한 명확한 통찰력을 제공합니다. 조직 이이 기능을 사용하고 혜택을받을 장벽을 낮추기 위해 특정 비밀은 저장되거나 공유되지 않습니다.

공개 미리보기는 오늘날 Github 팀 전반의 조직과 엔터프라이즈가 시도 할 계획을 위해 공개하고 있습니다. 여전히 초기이므로 다음 단계에 대한 추가 지침이 도움이 될지 또는 이것이 팀 및 엔터프라이즈 계획 외부에서 활용할 것인지 여부와 같은 의견을 듣고 싶습니다.

피드백이나 질문이 있으면 Github 커뮤니티에서 토론에 참여하십시오. 우리는 듣고 있습니다.

비밀 보호 및 코드 보안을 포함한 Github Advanced Security에 대해 자세히 알아보십시오.