조직에 대한 글로벌 보안 설정 구성

          global settings 조직을 위한 페이지에 접속하기

1. GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음, Your organizations를 클릭합니다.

2. 조직 이름에서 설정을 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

   

3. 사이드바의 "보안" 섹션에서 Advanced Security 드롭다운 메뉴를 선택한 다음, Global settings 을 클릭합니다.

전역 Dependabot 설정 구성

          global settings을 위해 여러 Dependabot을 사용자 지정할 수 있습니다.

• 만들기 및 관리 Dependabot 자동 심사 규칙
• 보안 업데이트 그룹화 Dependabot
• 실행기에서 종속성 업데이트 활성화 GitHub Actions

•           [에 대한 실행기 유형 구성 Dependabot](#configuring-the-runner-type-for-dependabot)
  

• Dependabot 프라이빗 및 내부 리포지토리에 대한 액세스 권한 부여

생성 및 관리 Dependabot 자동 심사 규칙

자동으로 Dependabot 자동 심사 규칙을 해제하거나 미루도록 Dependabot를 생성하고 관리하여 Dependabot alerts에게 지시할 수 있으며, 문제를 해결하기 위해 끌어오기 요청을 열 수도 있습니다. Dependabot 자동 심사 규칙을(를) 구성하려면 를 클릭한 다음 규칙을 만들거나 편집합니다.

• 새 규칙을 만들려면 새 규칙을 클릭하여 세부 정보를 입력하고 규칙 만들기를 클릭하면 됩니다.

• 규칙을 클릭한 다음 원하는 변경 내용을 만들고 저장 규칙을 클릭하여 기존 규칙을 편집할 수 있습니다.

        Dependabot 자동 심사 규칙에 대한 더 많은 정보는 [AUTOTITLE](/code-security/concepts/supply-chain-security/about-dependabot-auto-triage-rules) 및 [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/customizing-auto-triage-rules-to-prioritize-dependabot-alerts#adding-custom-auto-triage-rules-to-your-organization)을 참조하세요.
  

그룹화 Dependabot security updates

          Dependabot 는 자동으로 제안된 모든 보안 업데이트를 단일 끌어오기 요청으로 그룹화할 수 있습니다. 그룹화된 보안 업데이트를 사용 설정하려면 **그룹화된 보안 업데이트** 옵션을 선택하면 됩니다. 그룹화된 업데이트 및 사용자 지정 옵션에 대한 자세한 내용은 [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request)을(를) 참조하세요.

GitHub Actions 실행기에 대한 종속성 업데이트 사용

조직의 기존 리포지토리에서 Dependabot 및 GitHub Actions가 모두 활성화된 경우, GitHub는 GitHub 호스팅 실행기를 자동으로 사용하여 해당 리포지토리의 종속성 업데이트를 수행합니다.

그렇지 않으면 Dependabot가 GitHub Actions 실행기를 사용하여 조직의 모든 기존 리포지토리에 대한 종속성 업데이트를 수행할 수 있도록 허용하려면 "Dependabot 작업 실행기에서"를 선택합니다.

자세한 내용은 GitHub Actions 실행기의 Dependabot 정보을(를) 참조하세요.

Dependabot에 대한 실행기 유형 구성

Dependabot에서 실행하는 버전 및 보안 업데이트를 스캔하는 데 사용할 러너 유형을 구성할 수 있습니다. 기본적으로 Dependabot 표준 GitHub호스팅된 실행기를 사용합니다. 자체 호스팅 실행기를 사용자 지정 레이블과 함께 사용하도록 Dependabot을(를) 구성할 수 있습니다. 이렇게 하면 ARC와 같은 기존 실행기 인프라인 Actions Runner Controller와 통합할 수 있습니다.

실행기 유형을 구성하려면 다음을 수행합니다.

1. "Dependabot"에서 "Runner type" 옆에 있는 것을 선택합니다 .
2. "실행기 유형 Dependabot편집" 대화 상자에서 사용할 실행기 유형을 Dependabot 선택합니다.
   • 표준 GitHub 실행기.
   • 레이블이 지정된 실행기: 이 옵션을 Dependabot 선택할 경우, 지정한 레이블과 일치하는 자체 호스팅 실행기를 사용합니다.

3.        **라벨이 지정된 러너**를 선택한 경우:
   

   • “Runner 레이블”에 자체 호스팅 실행기에 할당된 레이블을 입력하세요. Dependabot는 이 레이블이 있는 실행기를 사용할 것입니다. 기본적으로 레이블은 dependabot 사용되지만 기존 실행기 인프라와 일치하도록 사용자 지정 레이블을 지정할 수 있습니다.
   • 필요에 따라 특정 실행기 그룹을 대상으로 지정하려면 "Runner 그룹 이름"에 실행기 그룹의 이름을 입력합니다.

4.        **실행기 선택 저장**을 클릭합니다.
   

자체 호스팅 실행기를 구성하는 방법에 대한 Dependabot 자세한 내용은 자체 호스팅 러너에서 Dependabot 구성을 참조하세요.

          Dependabot 프라이빗 및 내부 리포지토리에 대한 액세스 권한 부여

조직 Dependabot 에서 리포지토리의 프라이빗 종속성을 업데이트하려면 해당 리포지토리에 액세스해야 합니다. 원하는 프라이빗 Dependabot또는 내부 리포지토리에 대한 액세스 권한을 부여 하려면 "프라이빗 리포지토리에 대한 액세스 권한 부여Dependabot" 섹션까지 아래로 스크롤한 다음 검색 창을 사용하여 원하는 리포지토리를 찾아 선택합니다. 리포지토리에 대한 액세스 권한을 Dependabot 부여하면, 조직의 모든 사용자가 Dependabot updates을 통해 해당 리포지토리의 콘텐츠에 액세스할 수 있다는 점에 유의하세요. 프라이빗 리포지토리에 대해 지원되는 에코시스템에 대한 자세한 내용은 Dependabot 지원 에코시스템 및 리포지토리을(를) 참조하세요.

전역 code scanning 설정 구성

Code scanning는 GitHub 리포지토리의 코드를 분석하여 보안 취약성 및 코딩 오류를 찾는 데 사용하는 기능입니다. 분석으로 식별되는 모든 문제는 리포지토리에 표시됩니다.

          global settings을 위해 여러 code scanning을 사용자 지정할 수 있습니다.

          
         *               [다음을 사용하도록 코파일럿 자동 수정 설정 CodeQL](#enabling-copilot-autofix-for-codeql)

• 기본 설정에 확장 쿼리 도구 모음 권장
• CodeQL 분석 확장

기본 설정 시 확장 쿼리 도구 모음을 사용하는 것이 좋습니다.

          Code scanning는 코드에 대해 실행할 CodeQL의 쿼리 스위트로 불리는 특정 쿼리 그룹을 CodeQL 제공합니다. 기본적으로 ‘기본’ 쿼리 도구 모음이 실행됩니다. 
          GitHub 또한 "기본" 쿼리 도구 모음의 모든 쿼리를 포함하는 "확장" 쿼리 도구 모음과 더 낮은 정밀도 및 심각도의 추가 쿼리를 제공합니다. 조직 전체에 ‘확장’ 쿼리 도구 모음을 적용하려면 **기본 설정을 사용하는 리포지토리에 대해 확장 쿼리 도구 모음 추천을 선택하세요**. 기본 설정에 대한 기본 제공 쿼리 도구 모음에 대한 CodeQL 자세한 내용은 [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites)을 참조하세요.

          코파일럿 자동 수정을(를) CodeQL에 대해 사용하도록 설정하기

조직의 모든 리포지토리에서 코파일럿 자동 수정 기본 설정 또는 코파일럿 자동 수정 고급 설정을 사용하는 경우, CodeQL 을 선택하여 CodeQL을(를) 활성화할 수 있습니다. 코파일럿 자동 수정는 code scanning의 확장 기능으로, code scanning 경고에 대한 수정 사항을 제안합니다. 자세한 내용은 코드 검사에 Copilot Autofix의 책임 있는 사용을(를) 참조하세요.

          CodeQL 분석을 확장하기

모델 팩을 구성 CodeQL 하여 기본 설정을 사용하는 조직의 모든 리포지토리에 대한 분석 범위를 확장 CodeQL 할 수 있습니다. 모델 팩은 분석을 확장 CodeQL 하여 표준 CodeQL 라이브러리에 포함되지 않은 추가 프레임워크 및 라이브러리를 인식합니다. 이 전역 구성은 기본 설정을 사용하여 리포지토리에 적용되며 컨테이너 레지스트리를 통해 게시된 모델 팩을 지정할 수 있습니다. 자세한 내용은 기본 설정 구성 편집하기을(를) 참조하세요.

전역 secret scanning 설정 구성

Secret scanning은(는) 리포지토리의 전체 Git 기록과 해당 리포지토리 내의 문제, 끌어오기 요청, 토론 및 Wikis을 스캔하여 실수로 커밋된 토큰이나 프라이빗 키와 같은 유출된 비밀을 찾아 내는 보안 도구입니다.

          global settings을 위해 여러 secret scanning을 사용자 지정할 수 있습니다.

• 차단된 커밋에 대한 리소스 링크 추가
• 사용자 지정 패턴 정의
• 푸시 보호에 포함할 패턴 지정

차단된 커밋에 대한 리소스 링크 추가

커밋을 차단할 때 secret scanning 개발자에게 컨텍스트를 제공하기 위해 커밋이 차단된 이유에 대한 자세한 정보가 포함된 링크를 표시할 수 있습니다. 링크를 포함하려면 커밋이 차단될 때 CLI 및 웹 UI에서 리소스 링크 추가를 선택합니다. 텍스트 상자에 원하는 리소스에 대한 링크를 입력한 다음 ****.

사용자 지정 패턴 정의

정규식을 사용하여 사용자 지정 패턴을 정의할 secret scanning 수 있습니다. 사용자 지정 패턴은 secret scanning이(가) 지원하는 기본 패턴에서 검색되지 않는 비밀을 식별할 수 있습니다. 사용자 지정 패턴을 만들려면, 새 패턴을 클릭한 다음 패턴의 세부 정보를 입력하고 저장 및 시험 실행을 클릭하세요. 사용자 지정 패턴에 대한 자세한 정보는 비밀 검사를 위한 사용자 지정 패턴 정의을(를) 참조하세요.

푸시 보호에 포함할 패턴 지정

보안 팀은 푸시 보호에 포함된 비밀 패턴을 사용자 지정하여 조직의 리포지토리에서 차단되는 비밀 유형을 더욱 세밀하게 제어할 수 있습니다.

1. "추가 설정"의 "Secret scanning" 섹션과 "패턴 구성" 오른쪽에서 을 클릭합니다 .
2. 표시되는 페이지에서 ‘조직 설정' 항목을 원하는 내용으로 변경하세요.

관련 열의 토글 스위치를 조작하여 개별 패턴별로 푸시 보호 기능을 활성화하거나 비활성화할 수 있으며, 이는 Enterprise 및 조직 수준의 설정을 통해 관리됩니다.

데이터 범위가 한정적이기 때문에 사용자 지정 패턴에 따른 경고 발생량과 오탐지율, 우회 속도 및 가용성은 해당 _enterprise_나 조직 내의 사용자 활동 및 경고 현황을 그대로 반영합니다.

GitHub의 기본값은 정밀도 향상과 패턴 개선을 위해 지속적으로 업데이트될 수 있습니다.

패턴 구성 페이지에서 데이터를 읽는 secret scanning 방법에 대한 자세한 내용은 비밀 검사 패턴 구성 데이터을 참조하세요.

조직의 보안 관리자 생성

보안 관리자는 조직 전체 구성원을 대상으로 보안 설정 및 경고를 관리할 수 있는 역할을 수행합니다. 보안 관리자는 보안 개요를 통해 조직의 모든 리포지토리에 대한 데이터를 볼 수 있습니다.

보안 관리자 역할에 대한 자세한 내용은 조직의 보안 관리자 관리을(를) 참조하세요.

보안 관리자 역할을 할당하려면 조직 역할 사용을(를) 참조하세요.