Skip to content
GitHub 공급망

소프트웨어 공급망 보호

GitHub의 공급망 보안으로 오픈 소스 위험을 관리하세요. 자동화된 스캔, 업데이트 및 정책 시행을 통해 위협을 조기에 탐지하고 해결하여 소프트웨어의 탄력성을 유지하세요.

The image shows a GitHub Actions dependency review report on a blue gradient background. It indicates 0 vulnerable packages, 1 package with an incompatible license, and 0 packages with unknown licenses. Each issue has a "Details" link for more information.

의존성 보호

Dependabot을 사용하여 취약점을 자동으로 감지하고 신뢰할 수 있는 업데이트를 받으세요.

중요 사항의 우선순위 지정

Dependabot은 악용 가능성, 심각도 점수 및 분류 규칙을 기준으로 가장 중요한 경고 중 상위 10%를 우선적으로 표시합니다.

빌드 배포

아티팩트 증명으로 쉽게 빌드에 서명하고 빌드를 검증하여 보안과 규정 준수를 간소화하세요.

의존성부터 배포까지
공급망을 철저히 관리하세요.

공급망 파악

EPSS 점수와 자동화된 경고로 중요한 위험을 더 빠르게 식별하세요. 한 번의 클릭으로 SBOM을 사용하여 전이적 의존성을 포함한 의존성과 의존 항목을 매핑하세요.

공급망 보안 살펴보기
The image shows a screenshot of a security vulnerability report for various npm packages. The background is blue, and the report lists four packages with their respective versions and types of vulnerabilities. The first package, "vm2" version 3.9.19, is marked as "Direct" with 5 critical vulnerabilities detected automatically. The second package, "@babel/traverse" version 7.22.6, is marked as "Transitive" with 3 moderate vulnerabilities detected automatically. The third package, "@babel/cli" version 7.17.10, is also marked as "Transitive," but no specific vulnerabilities are listed in the image snippet provided here (the text cuts off). The fourth package, "browserify-sign" version 4.2.1, is similarly marked as "Transitive," with no specific vulnerabilities listed in this snippet.

업데이트를 간편하게

최신 의존성에 대한 자동 pull request로 보안을 유지하세요. Dependabot은 더 빠른 검토와 병합을 위해 업데이트를 그룹화합니다.

Dependabot 살펴보기
The image shows a GitHub pull request notification from dependabot. The title of the pull request is "Bump tomli from 2.0.1 to 2.2.1 in python.helpers #127". The status of the pull request is "Open" and it indicates that dependabot wants to merge 1 commit. Below, there is a comment from dependabot on behalf of GitHub stating "Bumps tomli from 2.0.1 to 2.2.1". There are expandable sections for "Changelog" and "Commits (1)". A note at the bottom states that Dependabot will resolve any conflicts.

새로운 위험 방지

GitHub Code Security와 함께 제공되는 종속성 검토 작업을 통해 pull request에 대한 보안 및 라이선스 준수를 시행하세요.

의존성 검토의 GitHub Action 살펴보기
The image shows a "Dependency Review" report generated by the GitHub Actions bot. The report lists the following issues: 0 vulnerable packages, 1 package with incompatible licenses, and 0 packages with unknown licenses. Each issue has a "Details" link next to it for more information.

규정 준수에 그치지 않고 보안 확보

아티팩트 증명으로 쉽게 빌드에 서명하고 빌드를 검증하세요. SOC2와 같은 외부 규정 준수 프레임워크를 충족하거나 SLSA로 빌드 레벨 3까지 내부 보안을 강화하세요.

아티팩트 증명 살펴보기
The image shows a digital interface with a blue gradient background. In the center, there is a semi-transparent rectangular overlay containing information about a software build. The overlay includes the following details: A URL link at the top: "https://slsa.dev/provenance/v1 #4920729" Created date and time: "3 weeks ago (Tue, 11 Feb 2025 19:52:54 GMT)" Commit hash: "6890fe21dd88873893dd1a3bf3bdd4d334bb2338" Build Summary link: "/cli/cli/actions/runs/13271193192/attempts/1" Workflow File path: ".github/workflows/deployment.yml@refs/heads/trunk"

처음부터 소프트웨어 보호

오픈 소스 프로젝트에 기여하든 팀을 위한 새로운 도구를 선택하든 GitHub로 보안 요구 사항을 충족할 수 있습니다.

영업팀에 문의

보안 소프트웨어 활용 모범 사례

엔드투엔드 공급망 보호

개인 계정부터 코드와 빌드까지 전체 GitHub 워크플로를 보호하세요.

가이드 확인하기

DevSecOps 가이드 살펴보기

DevSecOps로 처음부터 안전한 코드를 작성하는 방법에 대해 알아보세요.

백서 읽기

앱 보안에서 자주 발생하는 오류 방지

일반적으로 발생하는 애플리케이션 보안 오류를 파악하고 이를 방지하는 방법에 대해 알아 보세요.

백서 읽기

자주 묻는 질문

공급망 보안이란 무엇인가요?

소프트웨어 프로젝트를 개발할 때 오픈 소스 라이브러리, 프레임워크 또는 기타 도구 등 다른 소프트웨어를 사용하여 애플리케이션을 빌드하고 실행할 가능성이 높습니다. 프로젝트가 제대로 작동하기 위해 의존하는 리소스이므로 통칭하여 “의존성”이라고 합니다. 프로젝트는 이러한 수백 개의 의존성을 사용하여 "공급망"이라고 하는 것을 형성할 수 있습니다.

공급망은 보안 리스크를 초래할 수 있습니다. 의존성 중 하나에 알려진 보안 취약점이나 버그가 있는 경우 악의적인 행위자가 이 취약점을 악용하여 악성 코드(맬웨어)를 삽입하거나, 민감한 데이터를 훔치거나, 프로젝트에 다른 유형의 중단을 일으킬 수 있습니다. 이런 유형의 위협을 "공급망 공격"이라고 합니다. 공급망에 취약한 종속성이 있으면 자체 프로젝트의 보안이 손상되고 사용자도 위험에 처하게 됩니다.

공급망을 보호하기 위해 할 수 있는 가장 중요한 일 중 하나는 취약한 종속성에 패치를 적용하는 것입니다.

공격자는 사용되는 의존성만 노리는 것이 아니라 사용자 계정과 빌드 프로세스도 노립니다. 배포하는 코드가 변조되지 않게 하려면 둘 다 보호하는 것이 중요합니다.

GitHub는 환경의 의존성을 파악하고 보호하는 데 도움이 되고 GitHub 계정과 빌드 시스템을 보호하는 다양한 기능을 제공합니다.

타사 제품 대신 GitHub의 공급망 기능을 선택해야 하는 이유는 무엇인가요?

타사의 보안 추가 기능과 달리, GitHub의 공급망 기능은 개발자들이 이미 알고 있고 좋아하는 기본 GitHub 워크플로 전체에서 운영됩니다. GitHub는 개발자가 보다 쉽게 취약성을 수정할 수 있도록 하여 보안 팀이 애플리케이션 기반 취약성으로부터 비즈니스, 고객, 커뮤니티를 보호할 수 있는 중요한 전략에 집중할 시간을 확보해 줍니다.

SLSA와 SLSA 레벨 3은 무엇인가요?

SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 아티팩트의 개발 수명 주기 전반에 걸쳐 엔드투엔드 무결성을 개선하기 위한 프레임워크입니다. 소프트웨어 공급망에 무결성과 출처 보장을 구축하기 위한 포괄적인 단계별 방법론을 제공합니다. SLSA 레벨 3은 빌드가 엄격하게 분리되고, 소스 코드 기록이 검증되고, 출처가 엄격하게 제어되는 상당히 강화된 소프트웨어 공급망을 의미하며, 강력한 변조 방지와 소프트웨어 아티팩트의 무결성을 보장합니다. GitHub Actions와 아티팩트 증명은 SLSA 레벨 3으로 가는 여정을 크게 간소화합니다.

GitHub에서 자재 명세서(SBOM)를 만들 수 있나요?

GitHub 종속성 그래프에서 리포지토리의 자재 명세서(SBOM)를 내보낼 수 있습니다. SBOM은 오픈 소스 사용 현황을 투명하게 공개하고 공급망 취약점을 노출시켜 공급망 위험을 줄이는 데 도움이 됩니다.

GitHub의 공급망 기능은 유료인가요, 무료인가요?

GitHub의 공급망 기능은 대부분 모든 사용자에게 무료로 제공됩니다. 일부 고급 기능은 GitHub Code Security에서 프라이빗 리포지토리에만 제공됩니다. 요금을 확인하세요.