많은 사용자들이 github을 사용하여 소스코드를 관리하고 있습니다. 요즘 트랜드는 CI/CD를 표방하는 경우가 많아, 개발과 배포가 일원화 되는 경우가 많습니다. 이는 배포를 위한 정보도 소스코드 수준으로 관리를 하는 경우가 많습니다.
여기서 많은 보안상의 사고가 발생합니다. 주로 소스코드 내 클라우드 계정의 비밀번호, Application, DB 등의 비밀번호를 하드코딩한 후 커밋하는 경우가 많은데, 수많은 해커에 의해서 코드가 감시되고 있기 때문에 계정 비밀번호를 푸시하면 몇 시간 내에 해커가 알아차리는 경우가 많습니다. 이를 사전에 차단하기 위해서 Github 에서는 Security Feature를 제공하고 있습니다.
Github 을 사용하여 코드를 관리한다면 꼭 Security feature를 Enable 하기를 권장드립니다.
설정 방법
각 Repository별 Settings 메뉴를 선택합니다.
Security > Code security and analysis
오른쪽 항목에서 "Secret scanning"을 Enable 합니다.
체크버튼은 UX적으로 항상 헤갈려요. 현재 Status를 표시하는 것인지? 사용가능한 상태를 표시하는지?
Github에서는 사용가능한 상태를 표지하므로 Enable 로 보이면 현재 상태는 Disable 입니다.
Enable을 선택하면 다음과 같이 변경됩니다.
Push protection 메뉴도 Enable 하여 모두 enable 상태로 변경하면 됩니다.
최종상태
최종적으로 "Save changes"를 눌러서 저장하세요.
