다크 모드
GitHub 연동
GitHub 를 연동하면 소스코드 보안 관련 통제(취약점 점검, 시크릿 노출 등)를 자동으로 점검할 수 있습니다. ISMS Doctor 는 GitHub App 설치 방식으로 연동하며, 다음 3가지 소스를 동기화합니다.
| 소스 | 점검하는 것 |
|---|---|
| Secret Scanning | 저장소에 커밋된 시크릿/토큰 노출 |
| Dependabot | 의존성 취약점(CVE) 경보 |
| Code Scanning | 정적 분석(SAST) 경보 — GitHub Advanced Security 필요 |
💡 의존성 CVE 점검(통제 2.10.2 등)은 GitHub Dependabot 또는 AWS Inspector 결과로 평가됩니다. 코드 스캐너(별도 도구)는 이 범위를 다루지 않습니다. (코드 스캔 참조)
연동 절차
- GitHub App 설치 — 연동(Integrations) 화면의 GitHub 카드에서 설치를 시작합니다. GitHub 로 이동해 ISMS Doctor App 을 점검 대상 조직/저장소에 설치합니다.
- 콜백 완료 — 설치 후 ISMS Doctor 로 돌아오면 연동 상태가 저장됩니다.
- 동기화 실행 — 좌측 메뉴 코드 스캔(
/code-scan) 화면의 GitHub 동기화 버튼으로 세 소스(Secret Scanning·Dependabot·Code Scanning)를 한 번에 가져옵니다. 소스별로 가져온 경보 수와, 건너뛴 경우 그 사유가 함께 표시됩니다.
권한과 범위
- 설치 시 부여하는 권한은 보안 경보를 읽는 데 필요한 최소 범위입니다.
- Code Scanning 결과는 GitHub Advanced Security 가 활성화된 저장소에서만 제공됩니다. 활성화돼 있지 않으면 해당 소스는 건너뜀으로 표시됩니다(정상 동작).
결과 활용
동기화된 경보는 관련 통제 세부점검에 매핑되어 자동 평가에 반영됩니다. 경보가 미흡으로 이어지면 액션아이템 으로 조치 관리할 수 있습니다.
문제 해결
| 증상 | 원인 / 해결 |
|---|---|
| Code Scanning 만 동기화 안 됨 | 대상 저장소에 GitHub Advanced Security 미활성. 활성화하거나 해당 소스는 제외로 둡니다. |
| 동기화 후 경보 0건 | 실제 경보가 없거나, App 이 해당 저장소에 설치되지 않음. App 설치 범위를 확인하세요. |
| 설치 콜백이 ISMS Doctor 로 돌아오지 않음 | 브라우저 팝업 차단/세션 만료. 다시 로그인 후 설치를 재시도하세요. |