Skip to content
GitHub 보안 리스크 평가

조직이 얼마나 노출되어 있나요? 무료 평가를 실행해 파악하세요.

GitHub 리스크 평가는 리포지토리를 스캔하여 노출된 자격 증명과 코드 취약성을 찾아냅니다. 이를 통해 팀은 현재의 리스크를 파악하고 문제 해결의 우선순위를 정할 수 있습니다.

secret 리스크 평가

리포지토리를 스캔하여 유출된 자격 증명을 찾아내고, secret이 어디에 나타나는지, 어떤 유형이 가장 흔한지 그리고 보호 조치를 통해 어디에서 리스크를 줄일 수 있는지 확인하세요.

코드 보안 리스크 평가

최대 20개의 활성 리포지토리를 스캔하여 취약성을 식별하고, 심각도별 리스크를 파악하고, 어디에서 Copilot Autofix로 수정 속도를 높일 수 있는지 확인하세요.

결과에서 확인할 수 있는 사항

조직의 노출 현황을 명확하게 보여주므로 현재의 리스크 상태를 이해하고, 우선순위를 조율하며, 더 나은 비즈니스 결정을 내릴 수 있습니다.

작동 방식

평가 실행

조직 관리자 또는 보안 관리자가 스캔을 시작합니다. secret 리스크 평가에서는 조직의 모든 리포지토리를 검사하고, 코드 보안 리스크 평가에서는 사용자가 선택한 최대 20개의 리포지토리를 스캔합니다. 결과가 준비되면 GitHub에서 이메일을 보냅니다. 

GitHub Secret Protection and Code Security settings in a Scan organization dialog, with checkboxes and a Continue button to start the risk assessment.

결과 검토

Code Security 탭과 Secret Protection 탭을 열고 각 평가 결과를 검토하세요. Secret Protection 결과는 리포지토리가 처리되는 대로 표시되고 Code Security 결과는 전체 스캔이 완료되면 제공됩니다.

GitHub Code Security dashboard showing 20 repositories scanned, 500 vulnerabilities found, and Copilot Autofix 480/500, with breakdowns by language and top repository monalisa-repo.

다음 단계 수행

자격이 있는 엔터프라이즈 관리자라면 리스크 평가에서 바로 GitHub Advanced Security 평가판을 시작할 수 있습니다. 셀프서비스 평가판 이용 자격이 없는 경우에는 평가에서 바로 Secret Protection이나 Code Security를 활성화하거나 GitHub의 전문가와 상담할 수 있습니다.

Security assessments interface shows Code Security and Secret Protection with scan completed metrics and a Start trial call to action.

실제 리포지토리를 검사하고, 실제 결과를 검토하고, 직접 결정하세요.

실제 코드 테스팅

대다수 보안 평가에서는 벤치마크나 데모, 커버리지 테이블을 활용합니다. GitHub 보안 리스크 평가에서는 사용자 소유 리포지토리를 분석합니다. 따라서 사용자가 개발자의 실제 배포 사항을 기반으로 결과를 평가할 수 있습니다.

가정 대신 증거를 기반으로 결정

실제 환경에서 결과를 확인하고 GitHub 보안 제품이 적합한지 결정하세요.

유효성 입증 및 문제점 식별

결과가 깨끗하다면 현재 시행 중인 보안 관행이 효과가 있다는 증거입니다. 자격 증명, 취약성, 영향을 받은 리포지토리 등 문제점이 발견된다면 조치를 취해야 할 객관적인 근거가 됩니다.

사실을 기반으로 결정

평가를 실행하세요. 결과를 검토하세요. 후속 단계를 결정하세요.

평가 실행 데모 요청

자주 묻는 질문

어떤 GitHub 요금제와 역할에서 보안 리스크 평가를 실행할 수 있나요?

GitHub Team 또는 GitHub Enterprise Cloud 요금제를 이용해야 하며 조직 소유자와 보안 관리자여야 합니다. 코드 보안 리스크 평가는 GitHub Enterprise Server 3.23에서 지원됩니다.

GitHub 보안 리스크 평가 비용은 얼마인가요?

비용이 들지 않습니다. 코드 스캔 실행에 사용되는 GitHub Actions 시간(분)을 포함해 평가는 무료입니다. 평가 중에는 GitHub Code Security 또는 Secret Protection 라이선스 요금이 부과되지 않습니다.

GitHub 보안 리스크 평가를 완료하는 데 얼마나 걸리나요?

대부분 30분 내에 스캔이 끝납니다. 규모가 크거나 복잡성이 높은 조직의 경우 시간이 더 걸릴 수 있습니다. 보고서가 준비되면 GitHub에서 이메일을 발송합니다. Secret Protection 탭은 리포지토리가 스캔될 때 실시간으로 업데이트되고, Code Security 탭은 전체 스캔이 끝나면 채워집니다.

GitHub 보안 리스크 평가는 얼마나 자주 실행할 수 있나요?

90일마다 실행할 수 있습니다. 매번 스캔할 리포지토리를 변경할 수 있습니다.

GitHub 보안 리스크 평가에서는 무엇을 스캔하나요?

secret의 경우 GitHub는 조직의 리포지토리를 검사해 공급자 패턴과 일반 패턴을 기반으로 노출된 자격 증명을 찾습니다. 코드의 경우 GitHub는 CodeQL을 사용해 최대 20개의 리포지토리를 스캔합니다. 최근 90일간 커밋 활동이 가장 활발하게 일어난 리포지토리가 기본으로 선택됩니다. 스캔을 실행하기 전에 선택을 변경할 수 있습니다.

GitHub 평가를 실행하면 기존 코드 스캔 데이터가 영향을 받나요?

아니요. 리스크 평가에서는 별도의 업로드 경로를 사용하며, 리포지토리의 기존 코드 스캔 경고를 수정하거나 경고에 지장을 주지 않습니다.

GitHub 보안 리스크 평가에서 아무 문제도 발견되지 않았다는 건 어떤 의미인가요?

좋은 신호입니다. 현재 보안 관행이 잘 작동하고 있다는 증거입니다. 90일마다 다시 실행해 현 상태가 유지되는지 확인하세요.

GitHub 보안 평가 결과를 검토한 후 무엇을 할 수 있나요?

자격이 있는 엔터프라이즈 관리자라면 리스크 평가에서 바로 GitHub Advanced Security 평가판을 시작할 수 있습니다. 자격에 따라 Secret Protection 또는 Code Security를 활성화하거나, GitHub Advanced Security 평가판을 시작하거나, GitHub에 문의하여 전문가와 상담할 수 있습니다. 

GitHub는 보안 리스크 평가 결과를 영업 팀과 공유하나요?

사용자가 동의한 경우에만 그렇습니다. 동의를 얻은 평가에 한해 담당 어카운트 팀과 연락처 세부 정보를 공유하여 해당 팀이 후속 조치를 취할 수 있도록 합니다. 사용자가 동의하지 않은 경우에는 개인 정보나 평가 세부 정보를 첨부하지 않고 조직이 평가를 실행했다는 사실만 담당 어카운트 팀에 알립니다.