GitHub에는 수많은 보안 관련 설정이 있습니다.
몇몇 중요한 설정만 빠르게 해 두어도 최소한의 보안을 유지할 수 있습니다.
CodeQL
CodeQL은 GitHub에서 제공하는 코드 보안 분석 도구입니다.
SQL Injection, XSS 등 OWASP Top 10 취약점을 자동으로 탐지하고, 그에 대한 알림을 제공합니다.
GitHub Actions로 PR 생성 시 또는 주기적으로 실행할 수 있습니다.
Private 저장소에서는 유료 결제가 필요합니다. 저는 Public 저장소에서만 주 단위 또는 main 브랜치 관련 이벤트를 통해 트리거하여 실행하고 있습니다.
Dependabot
Dependabot은 프로젝트 의존성의 보안 취약점을 모니터링합니다.
취약점이 발견되면 알림을 보내고, 자동으로 업데이트 PR을 생성할 수도 있습니다.
자동 업데이트는 사용하지 않아도 취약점 확인과 주기적인 의존성 최신화를 위해 활성화하는 것이 좋습니다.
Branch Protection Rules
main/master 또는 특정 브랜치를 보호할 수 있습니다.
PR 필수, 리뷰 승인 필수, 상태 체크 통과 필수 등의 규칙을 설정할 수 있습니다.
과도한 설정이 부담스럽다면 PR에 대한 최소한의 CI/Validation, main 브랜치 Delete/Force Push 방지 등의 규칙만 설정해도 효과적입니다.