보안 경고를 식별한 이후의 다음 단계는 가장 긴급한 경고를 식별하고 수정하는 것입니다. 보안 캠페인은 경고를 그룹화하고 개발자와 공유하는 방법이므로 공동 작업하여 코드 및 노출된 모든 비밀의 취약성을 해결할 수 있습니다.
일상 업무에서의 보안 캠페인
보안 캠페인을 사용하여 보안 리더로서의 다양한 목표를 지원할 수 있습니다.
- 경고 수정 작업을 선도하여 회사의 보안 태세를 개선합니다.
- 관련된 code scanning 경고를 공동으로 수정하는 캠페인을 만들어 개발자를 위한 보안 교육을 강화합니다.
- secret scanning 경고가 수정 대상 내에서 해결되었는지 확인합니다.
- 보안 팀과 개발자 간의 협력 관계를 구축하여 보안 경고의 공유 소유권을 승격합니다.
- 개발자에게 수정해야 할 가장 긴급한 경고를 명확하게 제공하고 경고 수정 사항을 모니터링합니다.
보안 캠페인 사용의 이점
보안 캠페인은 개발자가 보안 경고를 수정하도록 장려하는 다른 방법보다 많은 이점을 제공합니다. 특히 다음과 같이 유용합니다.
- 개발자는 자신이 기여할 수 있는 모든 보안 캠페인에 대한 알림을 받습니다.
- 개발자는 일반적인 워크플로를 벗어나지 않고도 수정을 위해 강조 표시된 경고를 볼 수 있습니다.
- 각 캠페인에는 질문, 리뷰, 공동 작업을 위해 명명된 연락 지점이 있습니다.
- code scanning 경고의 경우, GitHub Copilot Autofix는 해결 방법을 제안하기 위해 자동으로 트리거됩니다.
템플릿 중 하나를 사용하여 캠페인과 밀접하게 관련된 경고 그룹을 선택할 수 있습니다. 이를 통해 개발자는 하나의 경고를 해결하여 얻은 지식을 기반으로 하여 여러 경고를 수정하고 이를 사용하여 여러 경고를 수정할 수 있는 인센티브를 제공할 수 있습니다.
또한 REST API를 사용하여 캠페인을 더욱 효율적이고 대규모로 만들고 상호 작용을 할 수 있습니다. 자세한 내용은 보안 캠페인에 대한 REST API 엔드포인트을(를) 참조하세요.
코드와 비밀 캠페인 간의 차이점
참고 항목
secret scanning 경고 캠페인은 현재 공개 미리 보기 상태이며 변경될 수 있습니다.
만들기 워크플로는 모든 캠페인에서 동일하지만 진행률 추적 및 개발자 환경에서 몇 가지 차이점을 확인할 수 있습니다.
| 속성 | 코드 | 암호 |
|---|---|---|
| 포함 가능한 경고 | 기본 분기만 | |
| 리포지토리 추적 이슈 | ||
| 개발자 알림 | 리포지토리에 대한 쓰기 권한 필요 | 경고 목록 보기 권한 필요 |
| 경고 할당 | 권한 상승 기능 | |
| 자동 수정 지원 | GitHub Copilot Autofix |
경고 할당
참고 항목
사용자에게 code scanning 및 secret scanning 경고를 할당하는 옵션은 현재 공개 미리 보기 상태이며 변경될 수 있습니다.
리포지토리의 쓰기 권한이 있는 모든 사용자에게 code scanning 또는 secret scanning 경고를 할당할 수 있습니다.
secret scanning 경고의 담당자가 경고 목록을 볼 수 없는 경우 해당 경고의 권한이 일시적으로 높아집니다. 경고에서 할당이 해제되면 추가 사용 권한도 취소됩니다.