Azure DevOps GitHub 고급 보안 구성

GitHub Azure DevOps Advanced Security는 GitHub Advanced Security의 보안 기능 제품군을 Azure Repos 추가하고 다음 기능을 포함합니다.

  • 비밀 검색 푸시 보호: 코드 푸시에 자격 증명과 같은 비밀을 노출하는 커밋이 포함되어 있는지 확인합니다.
  • 비밀 정보 검사 저장소 스캔: 저장소를 스캔하여 실수로 커밋된 노출된 비밀 정보를 찾습니다.
  • 종속성 검사 – 오픈 소스 종속성에서 알려진 취약성 검색(직접 및 전이적)
  • 코드 검색 – CodeQL 정적 분석 엔진을 사용하여 SQL 삽입 및 인증 바이패스와 같은 코드 수준 애플리케이션 취약성 식별

리포지토리에 대해 적절한 수준의 보호를 사용하도록 유연하게 엔터프라이즈에 고급 보안 보호를 제공할 수 있습니다. GitHub Advanced Security for Azure DevOps는 GitHub 비밀 보호 및 GitHub 코드 보안으로 제공됩니다.

비밀 보호에는 다음 기능이 포함됩니다.

  • 푸시 보호, 비밀 누출이 발생하기 전에 방지
  • 문제가 되기 전에 기존 노출을 발견하기 위해 알림과 함께 비밀 스캐닝 경고를 제공합니다.
  • 조직의 위험 수준 및 보안 보호에 대한 인사이트를 제공하는 보안 개요

코드 보안에는 다음 기능이 포함됩니다.

  • 오픈 소스 종속성에서 취약성을 찾기 위한 종속성 경고
  • 코드에서 직접 취약성을 감지하기 위한 CodeQL 검사
  • 타사 도구에 대한 보안 결과
  • 조직의 위험 수준 및 보안 보호에 대한 인사이트를 제공하는 보안 개요

Azure DevOps GitHub 고급 보안은 Azure DevOps 서비스 및 특히 코드 Git 리포지토리에만 사용할 수 있습니다.

Azure DevOps와 GitHub의 고급 보안은 Azure Repos와 함께 작동합니다. GitHub 리포지토리에서 GitHub Advanced Security를 사용하려면 GitHub Advanced Security 참조하세요.

필수 조건

카테고리 요구 사항
권한 - 리포지토리에 대한 모든 경고 요약을 보려면 기여자 권한이 필요합니다.
- 고급 보안에서 경고를 해제하려면: Project 관리자 권한
- 고급 보안에서 사용 권한을 관리하려면 Project 컬렉션 관리자 그룹의 구성원이거나 고급 보안: 설정 관리 권한 집합이 허용으로 설정되어야 합니다.

고급 보안 권한에 대한 자세한 내용은 고급 보안 권한 관리를 참조하세요.

자체 호스팅 에이전트에 대한 추가 필수 구성 요소

조직에서 자체 호스팅 에이전트를 사용하는 경우 종속성 검사 작업이 취약성 권고 데이터를 가져올 수 있도록 허용 목록에 다음 URL을 추가합니다. 자세한 내용은 허용된 IP 주소 및 도메인 URL 참조하세요.

도메인 URL 설명
https://governance.dev.azure.com dev.azure.com 도메인을 사용하여 DevOps 인스턴스에 액세스하는 조직의 경우
https://dev.azure.com dev.azure.com 도메인을 사용하여 DevOps 인스턴스에 액세스하는 조직의 경우
https://advsec.dev.azure.com dev.azure.com 도메인을 사용하여 DevOps 인스턴스에 액세스하는 조직의 경우
https://{organization_name}.governance.visualstudio.com {organization_name}.visualstudio.com 도메인을 사용하여 DevOps 인스턴스에 액세스하는 조직의 경우
https://{organization_name}.visualstudio.com  {organization_name}.visualstudio.com 도메인을 사용하여 DevOps 인스턴스에 액세스하는 조직의 경우
https://{organization_name}.advsec.visualstudio.com {organization_name}.visualstudio.com 도메인을 사용하여 DevOps 인스턴스에 액세스하는 조직의 경우

  • 호환되는 버전의 .NET 런타임을 실행합니다. 2026년 4월 현재 버전은 여전히 .NET 8.x입니다. 에이전트에 호환되는 버전이 없는 경우 종속성 검사 빌드 작업은 .NET 다운로드합니다.

  • CodeQL 번들을 에이전트의 에이전트 도구 캐시에 설치해야 합니다. YAML 파이프라인에서는 enableAutomaticCodeQLInstall: true 변수를 AdvancedSecurity-Codeql-Init@1 파이프라인 작업과 함께 활용하거나 클래식 파이프라인에서는 Enable automatic CodeQL detection and installation 확인란을 선택할 수 있습니다. 또는 수동 설치 지침은 Azure DevOps 참조하세요.

GitHub 고급 보안 사용

조직, 프로젝트 또는 리포지토리 수준에서 고급 보안을 사용하도록 설정할 수 있습니다. 각 검사 도구 및 결과에 액세스하려면 먼저 고급 보안을 사용하도록 설정해야 합니다. Advanced Security를 사용하도록 설정하면 이 정책을 사용하도록 설정된 리포지토리에 대한 비밀이 포함된 이후 푸시가 차단되고 리포지토리 비밀 검색이 백그라운드에서 수행됩니다.

리포지토리 수준의 온보딩

  1. Azure DevOps 프로젝트의 프로젝트 설정으로 가세요.
  2. Repos>리포지토리 선택합니다.
  3. 고급 보안을 사용하도록 설정할 리포지토리를 선택합니다.
  4. 활성화청구 사용 시작을 선택하여 고급 보안을 활성화합니다. 이제 고급 보안을 사용하도록 설정된 모든 리포지토리의 리포지토리 보기에 방패 아이콘이 표시됩니다.

GitHub Advanced Security를 활성화하는 스크린샷입니다.

프로젝트 레벨 온보딩

  1. Azure DevOps 프로젝트의 프로젝트 설정으로 가세요.
  2. Repos 선택합니다.
  3. 설정 탭을 선택합니다.
  4. 모두 사용을 선택하면 프로젝트의 활성 커밋자의 수에 대한 예상치를 확인할 수 있습니다. 이 작업은 기존 리포지토리에 대해서만 제품을 사용하도록 설정합니다.
  5. 프로젝트의 모든 기존 리포지토리에 대해 고급 보안을 활성화하려면 청구 시작을 선택합니다.
  6. 필요에 따라 새 리포지토리에 대해 자동으로 고급 보안을 사용하도록 설정 하여 나중에 새로 만든 리포지토리를 만들 때 고급 보안을 사용하도록 설정합니다. 이 설정은 모든 작업 사용 과는 별개이며 독립적으로 선택해야 합니다.

고급 보안에 대한 프로젝트 수준 사용의 스크린샷.

조직 수준 온보딩

  1. Azure DevOps 조직의 구성 설정 이동합니다.
  2. 리포지토리를 선택합니다.
  3. 모두 사용을 선택하면 조직의 활성 커밋자 수에 대한 추정치가 나타납니다. 이 작업은 기존 리포지토리에 대해서만 제품을 사용하도록 설정합니다.
  4. 조직의 각 프로젝트에 있는 모든 기존 리포지토리에 대해 고급 보안을 활성화하려면 청구 시작을 선택합니다.
  5. 필요에 따라 새 프로젝트에 대해 자동으로 고급 보안을 사용하도록 설정 하여 나중에 새로 만든 모든 프로젝트가 생성 시 고급 보안을 사용하도록 설정합니다. 이 설정은 모든 작업 사용 과는 별개이며 독립적으로 선택해야 합니다.

고급 보안에 대한 조직 수준 사용 스크린샷

조직, 프로젝트 또는 리포지토리 수준에서 비밀 보호 또는 코드 보안을 사용하도록 설정할 수 있습니다.

리포지토리 수준의 온보딩

  1. Azure DevOps 프로젝트의 프로젝트 설정으로 가세요.
  2. Repos>리포지토리 선택합니다.
  3. 고급 보안을 사용하도록 설정할 리포지토리를 선택합니다.
  4. 비밀 보호 또는 코드 보안을 토글합니다.
  5. 청구 시작 선택 이제 두 제품 중 하나를 사용하도록 설정된 리포지토리의 리포지토리 보기에 방패 아이콘이 표시됩니다.
  6. 필요에 따라 종속성 검사 기본 설정을 사용하도록 설정하려면 옵션을 선택하고 종속성 검사 기본 설정 확인란을 사용하도록 설정합니다.

GitHub Advanced Security를 활성화하는 스크린샷입니다.

프로젝트 레벨 온보딩

  1. Azure DevOps 프로젝트의 프로젝트 설정으로 가세요.
  2. Repos 선택합니다.
  3. 설정 탭을 선택합니다.
  4. 모두 사용을 선택하고 프로젝트에 대한 제품당 활성 커밋자 수에 대한 예상을 확인합니다. 이 작업을 수행하면 선택한 제품만 기존 리포지토리에 사용할 수 있습니다.
  5. 비밀 보호 또는 코드 보안 및 관련된 모든 하위 기능의 원하는 제품을 전환합니다.
  6. 프로젝트의 모든 기존 리포지토리에 대해 비밀 보호 및/또는 코드 보안을 활성화하려면 청구 시작 을 선택합니다.
  7. 필요에 따라 새 리포지토리에 고급 보안을 자동으로 활성화하는 옵션을 전환하여, 향후 생성되는 새 리포지토리에 비밀 보호 또는 코드 보안이 활성화되도록 설정합니다. 이 설정은 모든 작업 사용 과는 별개이며 독립적으로 선택해야 합니다.

고급 보안에 대한 프로젝트 수준 사용의 스크린샷.

조직 수준 온보딩

  1. Azure DevOps 조직의 구성 설정 이동합니다.
  2. 리포지토리를 선택합니다.
  3. 모두 사용을 선택하면 조직의 제품당 활성 커밋자 수에 대한 예상이 표시됩니다. 이 작업을 수행하면 선택한 제품만 기존 리포지토리에 사용할 수 있습니다.
  4. 비밀 보호 또는 코드 보안 및 관련된 모든 하위 기능의 원하는 제품을 전환합니다.
  5. 조직의 각 프로젝트에 있는 모든 기존 리포지토리에 대해 고급 보안을 활성화하려면 청구 시작을 선택합니다.
  6. 필요에 따라 새로 만든 프로젝트가 생성 시 비밀 보호 또는 코드 보안을 사용하도록 설정되도록 새 프로젝트에 대해 자동으로 고급 보안을 사용하도록 설정/해제합니다. 이 설정은 모든 작업 사용 과는 별개이며 독립적으로 선택해야 합니다.

고급 보안에 대한 조직 수준 사용 스크린샷

비밀 검사 설정

고급 보안을 켜면 비밀 검색 푸시 보호 및 리포지토리 검색이 자동으로 활성화됩니다. 리포지토리 설정 페이지에서 비밀 푸시 보호를 사용하거나 사용하지 않도록 설정할 수 있습니다.

푸시 보호를 사용하도록 설정하는 스크린샷.

선택한 리포지토리에 대해 고급 보안을 사용하도록 설정하면 비밀 검사 리포지토리 검색이 자동으로 시작됩니다.

비밀 검색 푸시 보호 및 리포지토리 검색은 비밀 보호를 켤 때 자동으로 사용하도록 설정됩니다. 리포지토리 설정 페이지에서 비밀 푸시 보호를 사용하거나 사용하지 않도록 설정할 수 있습니다.

푸시 보호를 사용하도록 설정하는 스크린샷.

선택한 리포지토리에 대해 비밀 보호를 사용하도록 설정하면 비밀 검사 리포지토리 검색이 자동으로 시작됩니다.

종속성 검사 설정

종속성 검사 기능에 액세스하려면 리포지토리에 대해 Code Security 제품을 사용하도록 설정해야 합니다.

종속성 검사는 파이프라인 기반 검사 도구입니다. 결과는 리포지토리별로 집계됩니다. 기본 분기를 검사하려면 리포지토리 설정 페이지에서 "취약한 종속성 검색" 설정을 활용할 수 있습니다. 이 기능은 기본 분기를 대상으로 하는 파이프라인 또는 기본 분기를 대상으로 하는 끌어오기 요청 빌드에 종속성 검사 작업을 자동으로 포함합니다.

원클릭 설정을 검사하는 종속성 스크린샷

원클릭 설정을 검사하는 종속성 스크린샷

고급 설정 또는 모든 분기를 검색하려는 경우 검사하려는 모든 파이프라인에 종속성 검사 작업을 추가하는 것이 좋습니다. 자세한 내용은 Azure DevOps용 GitHub Advanced Security의 종속성 검사를 참조하세요.

코드 검사 설정

코드 검색 기능에 액세스하려면 리포지토리에 대해 Code Security 제품을 사용하도록 설정해야 합니다.

코드 검색은 리포지토리당 결과가 집계되는 파이프라인 기반 검색 도구입니다. CodeQL 작업을 Azure Pipelines 직접 추가하여 코드 검사를 구성할 수 있습니다.

코드 검색을 설정하려면 파이프라인에 다음 작업을 순서대로 추가합니다.

  1. AdvancedSecurity-Codeql-Init@1 - CodeQL 초기화
  2. 사용자 지정 빌드 단계(컴파일된 언어용)
  3. AdvancedSecurity-Codeql-Analyze@1 - CodeQL 분석을 실행합니다.

CodeQL 초기화 태스크에서 분석하는 언어를 지정합니다. 지원되는 언어는 다음과 csharp, cpp, go, java, javascript, python, ruby, swift같습니다.

코드 검색 작업을 주 프로덕션 파이프라인의 복제된 별도의 파이프라인에 추가하거나 새 파이프라인을 만드는 것이 좋습니다. 구성 옵션에 대한 자세한 내용은 코드 검색 설정을 참조하세요.

끌어오기 요청 주석 설정

종속성 검사 및 코드 검색의 경우 주석은 파이프라인에 포함된 종속성 검사 및/또는 코드 검색 작업과 함께 빌드 유효성 검사 정책이 적용되는 끌어오기 요청에 대해 자동으로 구성됩니다. 빌드 유효성 검사 정책을 구성하는 방법에 대한 자세한 내용은 빌드 유효성 검사를 참조 하세요.

끌어오기 요청 주석을 위해서는 먼저 기본 분기 및 대상 분기에 대해 고급 보안 검사를 수행해야 하며, 이후 소스(끌어오기 요청) 분기를 검사해야 합니다. 끌어오기 요청 분기에 대한 경고를 해결하는 방법에 대한 자세한 내용은 끌어오기 요청에 대한 종속성 검사 경고 관리 및 끌어오기 요청에 대한 코드 검색 경고 관리를 참조하세요.

고급 보안을 사용하지 않도록 설정하려면 다음에 리포지토리에 고급 보안을 다시 사용하도록 설정할 때 고급 보안 탭에 경고 및 상태가 유지됩니다.

  • Last updated on