9장. 조치 및 보안

앞 장에서 살펴본 것처럼 액션은 인상적인 수준의 자동화를 제공합니다. 또한 다른 방법으로는 불가능했을 작업을 GitHub에서 직접 수행할 수 있는 방법도 제공합니다. 하지만 이러한 기능은 사전에 고려하고 계획해야 하는 보안 위험을 수반할 수도 있습니다. 그렇지 않으면 리포지토리를 여러 공격 표면과 취약점에 노출시킬 수 있습니다. 이는 누군가가 고의적으로 보안 허점을 이용하거나 실수로 오용하여 발생할 수 있습니다. 그리고 여러분의 리포지토리를 포크하는 모든 사람의 리포지토리를 동일한 종류의 노출에 개방하는 것입니다.

전적으로 협업을 위해 설계된 프레임워크를 사용하고 있다는 점을 명심하세요. GitHub는 플랫폼과 데이터에 대해 세계적 수준의 보안을 제공하지만, 리포지토리를 보호하기 위해 적절한 예방 조치와 조치를 취하는 것은 여전히 개별 리포지토리 소유자의 몫입니다. 여기에는 리포지토리 내에서 작업할 수 있는 사람과 작업 내용을 관리하는 것도 포함됩니다. 워크플로우와 작업의 특정 목적이 코드를 실행하는 것이기 때문에 이는 특히 워크플로우와 작업의 혼합에서 중요합니다.

이 장에서는 리포지토리의 맥락에서 워크플로와 작업의 보안적 의미를 살펴봅니다. 그리고 작업의 실행 가능 범위와 실행 시기를 적절히 설정할 수 있도록 GitHub가 제공하는 메커니즘을 살펴봅니다. 또한 워크플로 및 작업을 통한 보안과 관련하여 GitHub의 몇 가지 모범 사례도 소개합니다.

동작의 사용을 보호하려면 다층적인 접근 방식이 필요합니다. 이러한 계층을 살펴보는 방법은 여러 가지가 있지만 가장 간단한 접근 방식은 다음과 같습니다:

구성별 보안

적절한 제어 및 설정을 구현하여 실행할 수 있는 항목과 시기를 관리합니다.

설계를 통한 보안

토큰과 비밀을 활용하여 데이터 보호, 신뢰할 수 없는 입력과 같은 일반적인 위협으로부터 보호, 종속성 보호

모니터링을 통한 보안

특히 풀 리퀘스트를 통해 들어오는 변경 사항을 검토하고, 스캔하고, 실행을 모니터링합니다.

시작하기 좋은 방법은 리포지토리에 대한 GitHub의 보안 옵션을 활용하는 것입니다.

구성별 보안

작업 프레임워크와 관련된 구성별 보안( )은 이러한 조건에 관한 것입니다:

• 작업 및 워크플로의 실행 허용 여부
• 허용되는 경우 실행할 수 있는 기준은 무엇인가요?

작업 및 워크플로 옵션( )에 대한 구성은 로 이동하여 리포지토리의 설정 탭으로 이동한 다음 왼쪽의 작업 메뉴에서 일반 옵션을 선택하면됩니다(그림 9-1). (리포지토리에 대한 설정을 수정할 수 있는 권한이 있다고 가정합니다.)

액션 러너 메뉴 항목

작업 메뉴의 다른 옵션은 러너 옵션입니다. 여기에서 자체 호스팅 러너를 구성할 수 있습니다. 러너는 5장에서 다룹니다.

일반 옵션을 선택하면 페이지 상단에 이 리포지토리에 허용할 작업 및 워크플로를 지정할 수 있는 옵션이 표시됩니다.

그림 9-1.