보안 개요

보안 개요는 조직의 보안 위험 및 고급 보안 사용 상태에 대한 요약을 볼 수 있는 단일 창을 제공합니다. 고급 보안 사용 리포지토리가 있는지 여부에 관계없이 모든 조직은 조직 설정에서 보안 개요 탭을 볼 수 있습니다.

Azure DevOps용 GitHub Advanced Security는 Azure Repos에서 작동합니다. GitHub 리포지토리에서 GitHub Advanced Security를 사용하려면 GitHub Advanced Security를 참조하세요.

보안 개요

조직 설정을 볼 수 있는 액세스 권한이 있는 조직의 모든 구성원은 보안 개요를 볼 수 있습니다. 보안 개요에는 다음 세 가지 탭이 포함되어 있습니다.

  • 위험 - 고급 보안을 사용하도록 설정된 모든 프로젝트 및 리포지토리에서 총 경고 및 경고의 심각도별 분포를 보여 줍니다.
  • 적용 범위 - 조직의 모든 리포지토리에서 고급 보안 기능의 사용 상태를 보여 줍니다.
  • 경고 - 필터링 및 검색 기능을 사용하여 조직의 모든 리포지토리에서 개별 경고를 표시합니다.

위험 탭

조직의 보안 개요에 액세스하려면 조직 설정 > 보안 개요로 이동합니다. 기본 보기는 조직 전체의 보안 경고 요약을 보여주는 위험 탭입니다.

위험 보기에는 고급 보안을 사용하도록 설정된 리포지토리만 표시됩니다. 보고된 경고 수는 각 리포지토리의 기본 분기 검색된 경고에만 해당합니다. 비활성화된 리포지토리와 삭제된 리포지토리는 결과에서 자동으로 제외됩니다.

테이블의 각 열 머리글(Open, New, DismissedFixed)을 기준으로 정렬하고 키워드에 대한 검색 창 또는 프로젝트, 도구 및 시간 제한에 대한 드롭다운 필터를 사용하여 쿼리를 수정할 수 있습니다. 시간 제한은 기본적으로 지난 7일의 결과를 표시합니다. 적용된 모든 필터는 쿼리의 공유 가능성을 용이하게 하기 위해 URL 매개 변수로 푸시됩니다.

오프라인 분석 또는 보고를 위해 위험 탭에서 CSV 파일로 결과를 내보낼 수 있습니다.

조직에 대한 보안 개요의 위험 탭 스크린샷

커버리지 탭

적용 범위 탭에서 보안 개요는 사용 상태에 관계없이 엔터프라이즈의 모든 리포지토리를 표시합니다. 결과는 비활성화된 리포지토리와 삭제된 리포지토리를 자동으로 제외합니다. 고급 보안을 사용하도록 설정된 모든 리포지토리의 경우 개요에는 각 도구에 대한 분석이 포함됩니다.

조직에 대한 보안 개요의 적용 범위 탭 스크린샷

SARIF 결과 파일이 Advanced Security에 성공적으로 제출되면 종속성 검사, 코드 검색 및 비밀 검색 경고가 활성화됩니다. 즉, 리포지토리의 어느 분기에서 경고가 발견되든 상관없이 스캔이 성공하면 해당 특정 도구와 리포지토리에 대한 범위가 활성화됩니다. 활성화 상태는 최신 검사 시점을 고려하지 않습니다. 조직 또는 프로젝트 수준에서 Enable all을 선택하면 최근 사용 가능 이벤트가 최대 24시간 지연될 수 있습니다.

특정 리포지토리를 마우스로 가리키고 톱니바퀴 아이콘을 선택하면 고급 보안을 사용하도록 설정할 수 있는 리포지토리의 설정 창으로 이동됩니다. 고급 보안 기능을 구성하는 방법에 대한 자세한 내용은 GitHub Advanced Security 구성을 참조 하세요.

검사 탭에서 CSV 파일로 결과를 내보낼 수 있습니다.

경고 탭

경고 탭은 조직의 모든 리포지토리에서 개별 보안 경고를 결합한 보기를 제공합니다. 각 리포지토리로 개별적으로 이동하는 대신 하나의 중앙 집중식 대시보드에서 경고를 검색, 필터링 및 우선 순위를 지정할 수 있습니다.

경고 탭은 다음을 통해 필터링을 지원합니다.

  • 도구 - 코드 검색, 종속성 검사 또는 비밀 검색과 같은 경고 원본을 기준으로 필터링합니다.
  • 심각도 - 위험, 높음, 중간 또는 낮음과 같은 경고 심각도 수준을 기준으로 필터링합니다.
  • 상태 — 열기, 해제 또는 고정과 같은 경고 상태를 기준으로 필터링합니다.
  • Project - Azure DevOps project 필터링합니다.
  • 리포지토리 - 특정 리포지토리별로 필터링합니다.
  • 시간 제한 - 경고가 도입될 때까지 필터링합니다.

특정 도구를 선택하면 특정 필터가 표시됩니다. 비밀의 경우 이러한 필터에는 유효성 및 비밀 유형이 포함됩니다. 종속성을 위해 이러한 필터에는 패키지 및 에코시스템이 포함됩니다. 코드의 경우 이러한 필터에는 도구 및 규칙이 포함됩니다.

보안 개요 탭에서 경고 사용 페이지의 스크린샷

Export

오프라인 분석, 보고 또는 다른 도구와의 통합을 위해 경고 탭에서 CSV 파일로 처음 1,000개의 경고를 내보낼 수 있습니다. 내보내기가 현재 적용된 필터를 준수합니다.

보안 캠페인

보안 캠페인을 사용하면 경고의 필터링된 보기를 만들고 공유하여 팀 전체에서 수정 작업을 조정할 수 있습니다. 필터를 사용하여 특정 취약성 유형, 심각도 수준 또는 리포지토리에 집중한 다음 URL을 사용하여 캠페인 보기를 팀과 공유합니다.

이 페이지는 필터를 URL 매개 변수로 적용합니다. URL을 복사하여 필터링된 특정 보기를 팀과 쉽게 공유할 수 있습니다.

보안 개요 탭에서 보안 캠페인을 만드는 데 사용되는 필터링된 경고 보기의 스크린샷

캠페인은 다음과 같은 경우에 유용합니다.

  • 스프린트 기반 수정 - 스프린트 중에 수정 진행 상황을 추적하기 위해 특정 프로젝트의 모든 중요 경고에 대한 캠페인을 만듭니다.
  • 도구별 심사 - 특정 검사 도구로 필터링하여 해당 원본의 모든 경고를 검토하고 심사합니다.
  • 리포지토리 간 조율 — 여러 리포지토리의 엔지니어와 필터링된 보기를 공유하여 특정 유형의 취약점을 줄일 수 있습니다.
  • Last updated on