C.W.K.
Stream
More →
Lesson 10 of 13 · published

보안 스캔

~12 min · security, sast, secrets, supply-chain

Level 0Apprentice
0 XP0/101 lessons0/10 achievements
0/120 XP to next level120 XP to go0% complete

무료, 자동, 안 돌릴 핑계 없음

GitHub 가 PR review UI 와 직접 통합되는 first-party 스캐너 여러 개 제공. 어느 것도 새 인프라 불요. 모두 code review 옆에 발견 표시. 켜.

CodeQL — SAST (정적 애플리케이션 보안 테스트)

  • GitHub 유지관리.
  • 클래식 취약점 패턴 탐지: SQL injection, XSS, path traversal, deserialization.
  • Public repo 무료; private 은 GitHub Advanced Security 포함.
  • 설정: github/codeql-action 와 함께 workflow 파일 하나.

Secret 스캐닝

  • GitHub 내장. Workflow 불요.
  • 200+ 토큰 포맷 탐지: AWS, GCP, Stripe, OpenAI, Anthropic, GitHub PAT.
  • Push protection 이 secret 탐지 시 git push 시점에 commit 차단.

Dependency 스캐닝

  • Dependabot 이 알려진 취약 dependency 경고.
  • Dependabot 버전 업데이트가 새 버전 자동 PR.
  • Repo Settings → Code security 에서 둘 다 활성화.

추가할 만한 third-party 스캐너

  • trivy — container image + IaC 스캔.
  • gitleaks — 추가 secret 패턴.
  • semgrep — 애플리케이션 특정 패턴 custom rule.

Code

CodeQL — 최소 workflow·yaml
name: codeql
on:
  push: { branches: [main] }
  pull_request: {}
  schedule:
    - cron: '0 6 * * 1'   # weekly Monday

jobs:
  analyze:
    runs-on: ubuntu-latest
    permissions:
      security-events: write
      contents: read
    strategy:
      matrix:
        language: [python, javascript]
    steps:
      - uses: actions/checkout@v4
      - uses: github/codeql-action/init@v3
        with: { languages: '${{ matrix.language }}' }
      - uses: github/codeql-action/analyze@v3

External links

Exercise

소유한 repo 에서: secret 스캐닝, push protection, Dependabot 알림, Dependabot 버전 업데이트 활성화. CodeQL workflow 추가. 어느 것도 새 코드 불요; 다 체크박스.

Progress

Progress is local-only — sign in to sync across devices.
← PreviousType checkingNext →Build artifact
이 페이지에서 버그를 발견하셨거나 피드백이 있으세요?문제 신고

댓글 0

🔔 답글 알림 (로그인 필요)
로그인댓글을 남기려면 로그인해 주세요.

아직 댓글이 없어요. 첫 댓글을 남겨보세요.