코드 보안 위험 평가 결과 해석

          code security risk assessment의 결과를 이해하고 취약성 수정을 우선적으로 처리합니다.

누가 이 기능을 사용할 수 있나요?

조직 소유자 및 보안 관리자

이 기사에서

소개

이 자습서에서는 code security risk assessment 결과를 해석하고 다음 방법을 배우게 됩니다.

  • 대시보드의 위험 메트릭 이해
  • 가장 영향을 받는 리포지토리 및 언어 식별
  • 수정을 위한 취약성 우선 순위 지정

사전 요구 사항

보고서를 생성한 후 code security risk assessment 검사가 완료되기를 기다려야 합니다. 조직에 대한 코드 보안 위험 평가 실행을(를) 참조하세요.

1단계: 대시보드 메트릭 이해

평가가 완료되면 대시보드 맨 위에 있는 주요 메트릭을 검토합니다.

  •         **검색된 총 리포지토리**: 선택한 리포지토리 중에서 성공적으로 검색된 리포지토리 수입니다.

  •         **발견된 총 취약성**: 검색된 모든 리포지토리에서 발견된 총 취약성 수입니다.

  •         **Copilot Autofix**: Copilot Autofix에 적합한 취약성의 수입니다. 
        GitHub Code Security 사용하도록 설정하면 이러한 경고에 대한 수정 사항을 자동으로 제안할 Copilot Autofix수 있는 액세스 권한이 부여됩니다.

2단계: 언어별 취약성 검토

          **언어별 취약성** 차트를 살펴보고 코드베이스에서 전체 취약성 수에 가장 많은 영향을 주는 언어를 이해합니다.

취약성이 특정 언어로 집중된 경우 다음을 나타낼 수 있습니다.

  • 일반적인 약점을 도입하는 사용 중인 특정 프레임워크 또는 패턴
  • 대상 보안 코딩 지침의 이점을 누릴 수 있는 해당 언어로 작업하는 팀

3단계: 가장 영향을 받는 리포지토리 식별

          **리포지토리 검색** 테이블에서 검색된 각 리포지토리와 찾은 전체 취약성 중에서 적격 Copilot Autofix 한 취약성의 비율을 확인할 수 있습니다.

페이지 맨 위에 있는 가장 취약한 리포지토리 메트릭은 가장 높은 취약성 수를 가진 리포지토리를 강조 표시합니다. 수정의 우선 순위를 정할 때 시작하는 것이 좋습니다.

리포지토리의 높은 비율 에 취약성이 포함된 경우 다음을 나타낼 수 있습니다.

  • 팀 전체에서 보안 코딩 사례의 광범위한 격차

  • 조직 전반에 걸친 툴 및 가드레일의 필요성(예: code scanning)

            **소수의** 리포지토리에만 취약성이 있는 경우 특정 팀 또는 코드베이스에 수정 작업을 집중할 수 있습니다.

4단계: 검색된 규칙 검토

          **규칙 검색** 테이블로 스크롤하여 다음을 비롯한 규칙별 취약성 분석을 확인합니다.

* 규칙: 검색된 특정 보안 문제 클래스 * 규칙 심각도: 심각도 수준(위험, 높음, 중간 또는 낮음) * 고유 리포지토리: 이 규칙 위반을 포함하는 다양한 리포지토리 수 * 취약성 발견: 모든 리포지토리에서 이 규칙 위반의 총 수

테이블은 기본적으로 취약성 수를 기준으로 정렬하여 가장 널리 퍼진 문제를 식별하는 데 도움이 됩니다. 여러 리포지토리에 나타나는 심각 도가 높거나 심각도가 높은 규칙에 특히 주의해야 합니다. 이는 가장 큰 위험을 나타내기 위함입니다.

5단계: 수정 우선 순위 지정

이제 메트릭을 이해했으므로 위험에 따라 수정의 우선 순위를 지정합니다.

우선 순위가 가장 높은 취약성은 다음과 같은 이유로 여러 리포지토리에 표시되는 중요하고 심각도가 높은 규칙입니다.

  • 악용될 경우 가장 큰 잠재적 영향 표시
  • 팀이 적극적으로 작업 중인 코드에 현재 존재함

다음으로, 위험이 낮거나 수정에 더 많은 노력이 필요한 취약성을 해결합니다.

  •         **중간 및 낮은 심각도 문제**, 이는 여전히 위험을 초래할 수 있지만 즉시 중요하지 않습니다.
  • 더 많이 포함된 노출을 나타내는 하나의 리포지토리에만 표시되는 규칙

또한 개별 수정 이외의 광범위한 개입이 필요할 수 있는 다음 지표를 찾습니다.

  •         **동일한 규칙의 영향을 받는 많은 리포지토리**: 팀 교육 또는 업데이트된 코딩 표준이 필요할 수 있는 시스템 패턴을 제안합니다.

  •         **특정 언어의 높은 취약성 수**: 프레임워크 수준 문제 또는 해당 언어에 대한 검색 도구 누락을 가리킬 수 있습니다.

다음 단계

취약성 Copilot Autofix 수정을 시작하려면, GitHub Code Security을(를) 조직에 대해 사용 설정하세요. 이때 다음 두 가지 방법을 사용할 수 있습니다.

  • 개별 리포지토리에서 GitHub Code Security를 사용하도록 설정하려면 "검색된 리포지토리" 테이블의 리포지토리 옆에 있는 사용을 클릭합니다.
  • 조직 전체에서 GitHub Code Security를 활성화하려면 페이지 맨 위에서 [활성화] Code Security 을 클릭합니다. 여기에서 모든 리포지토리 또는 선택한 리포지토리에 사용하도록 설정할지 여부를 선택한 다음, 확인하기 전에 예상 비용을 검토할 수 있습니다.