Azure DevOps용 GitHub Advanced Security는 세분화된 권한 제어를 사용하여 포괄적인 보안 검사 기능을 제공합니다. 이 문서에서는 보안 경고에 대한 사용 권한을 구성하고, 액세스 수준을 관리하고, 고급 보안 API에 대한 보안 인증을 설정하는 방법을 안내합니다.
Azure DevOps용 GitHub Advanced Security는 Azure Repos에서 작동합니다. GitHub 리포지토리에서 GitHub Advanced Security를 사용하려면 GitHub Advanced Security를 참조하세요.
필수 조건
| 카테고리 | 요구 사항 |
|---|---|
| 권한 | - 리포지토리에 대한 모든 경고 요약을 보려면 기여자 권한이 필요합니다. - 고급 보안에서 경고를 해제하려면 : 프로젝트 관리자 권한입니다. - 고급 보안에서 사용 권한을 관리하려면: 프로젝트 컬렉션 관리자 그룹 또는 고급 보안의 구성원: 허용으로 설정된 설정 권한을 관리합니다. |
고급 보안 권한에 대한 자세한 내용은 고급 보안 권한 관리를 참조하세요.
권한 정의
Advanced Security에는 보안 기능에 대한 액세스를 제어하는 세 가지 특수한 권한이 도입되었습니다.
| 허가 | 설명 | 사용 사례 |
|---|---|---|
| 고급 보안: 경고 읽기 | 보안 경고, 취약성 및 검사 결과 보기 | 보안 분석가, 코드를 검토하는 개발자 |
| 고급 보안: 경고 관리 및 해제 | 오탐 무시, 알림 수명 주기 관리 | 보안 엔지니어, 수석 개발자 |
| 고급 보안: 설정 관리 | 고급 보안 기능 사용/사용 안 함(청구 가능 작업) | 프로젝트 관리자, 보안 관리자 |
기본 권한 할당
| Azure DevOps 그룹 | 기본 권한 |
|---|---|
| 참여자 | 고급 보안: 경고 읽기 |
| 프로젝트 관리자 | 고급 보안: 경고 읽기, 관리 및 해제 |
| 프로젝트 컬렉션 관리자 | 고급 보안: 경고 읽기, 경고 관리 및 해제, 설정 관리 |
비고
"설정 관리" 권한이 있는 사용자만 고급 보안 기능을 사용하도록 설정할 수 있으며, 이로 인해 청구 요금이 발생할 수 있습니다. 이 권한을 부여할 때는 주의해야 합니다.
고급 보안 권한 관리
보안 요구 사항을 충족하기 위해 특정 리포지토리에 대한 고급 보안 권한을 사용자 지정할 수 있습니다. 이 작업은 역할 및 책임에 따라 팀 구성원에게 서로 다른 액세스 수준을 부여해야 하는 경우에 유용합니다.
권한 사용자 지정에 대한 일반적인 시나리오:
- 보안 팀 액세스: 보안 분석가에게 전체 권한 부여
- 개발자 액세스: 개발 팀에 읽기 전용 액세스 제공
- 규정 준수 요구 사항: 권한 있는 담당자로 설정 관리 제한
리포지토리별 권한 구성
권한 드롭다운을 사용하지 않도록 설정한 경우 프로젝트 관리자에게 보안 설정을 관리하는 데 필요한 권한을 문의하세요.
특정 리포지토리에 대한 권한을 조정하려면 다음을 수행합니다.
프로젝트 설정>리포지토리선택합니다.
사용 권한을 조정하려는 특정 리포지토리를 선택합니다.
보안을 선택합니다.
사용 권한을 조정하려는 보안 그룹을 선택합니다.
사용 권한을 변경합니다. 성공하면 선택한 권한 옆에 확인 표시가 표시됩니다.
고급 보안 API에 대한 인증
Microsoft Entra ID 토큰 사용(권장)
Microsoft Entra ID 토큰은 Azure DevOps API용 GitHub 고급 보안에 액세스하기 위한 기본 인증 방법입니다. OAuth 2.0 표준을 통해 보안이 강화되고 엔터프라이즈 ID 시스템과 원활하게 통합됩니다.
Microsoft Entra ID 인증의 이점:
- 향상된 보안: 자동 토큰 새로 고침을 사용한 OAuth 2.0 규정 준수
- 엔터프라이즈 통합: 조건부 액세스 정책 및 다단계 인증에 대한 기본 지원
- 감사 및 규정 준수: 보안 작업에 대한 더 나은 추적 및 로깅
- 최소 권한 액세스: 조직의 보안 정책에 맞게 세분화된 범위 제어
자세한 구현 지침은 Azure DevOps에 대한 Microsoft Entra 인증을 참조하세요.
개인용 액세스 토큰 사용
중요합니다
위험 수준이 높은 개인용 액세스 토큰보다 더 안전한 Microsoft Entra 토큰을 사용하는 것이 좋습니다. PAT 사용량을 줄이기 위한 노력에 대해 자세히 알아보세요. 인증 지침을 검토하여 요구 사항에 적합한 인증 메커니즘을 선택합니다.
개인 액세스 토큰을 사용하여 고급 보안 API 사용할 수 있습니다. 자세한 내용은 개인용 액세스 토큰 사용을 참조하세요.
Advanced Security는 PAT에 대한 세 가지 read추가 범위인 < a0 read and write/>를 read, write, and manage제공합니다.
관련 문서
- 코드 검색 설정
- 종속성 검사 설정하기
- 비밀 스캐닝 설정
- Azure DevOps용 GitHub 고급 보안 대해 알아봅니다.