이슈를 생성하거나 머지 리퀘스트에 설명을 추가하거나 댓글을 작성할 때 시크릿을 실수로 게시할 수 있습니다. 예를 들어, 인증 토큰을 포함하는 API 요청 또는 환경 변수의 세부 정보를 붙여 넣을 수 있습니다. 시크릿이 유출되면 공격자가 이를 사용하여 합법적인 사용자를 가장할 수 있습니다.

클라이언트 측 시크릿 감지는 우발적인 시크릿 노출의 위험을 최소화하는 데 도움이 됩니다. 이슈 또는 머지 리퀘스트에서 설명이나 댓글을 편집할 때 GitLab이 자동으로 시크릿에 대한 내용을 스캔합니다.

시크릿 감지 워크플로우#

클라이언트 측 시크릿 감지는 패턴 매칭을 사용하여 브라우저 내에서 완전히 작동합니다. 이 접근 방식은 다음을 보장합니다:

• GitLab에 제출되기 전에 시크릿이 감지됩니다.
• 감지 프로세스 중에 민감한 정보가 전송되지 않습니다.
• 추가 구성 없이 원활하게 작동합니다.

시작하기#

클라이언트 측 시크릿 감지는 모든 GitLab 티어에서 기본적으로 활성화되어 있습니다. 설정이나 구성이 필요하지 않습니다.

이 기능을 테스트하려면:

1. 아무 이슈 또는 머지 리퀘스트로 이동합니다.
2. glpat-xxxxxxxxxxxxxxxxxxxx와 같은 테스트 시크릿 패턴이 포함된 댓글을 추가합니다.
3. 제출하기 전에 나타나는 경고 메시지를 확인합니다.

테스트 시 실제 시크릿이 노출되지 않도록 항상 자리 표시자 값을 사용하세요.

적용 범위#

클라이언트 측 시크릿 감지는 다음 내용을 분석합니다:

• 이슈 설명 및 댓글
• 머지 리퀘스트 설명 및 댓글

감지된 시크릿의 특정 유형에 대한 자세한 내용은 감지된 시크릿 문서를 참조하세요.

결과 이해#

클라이언트 측 시크릿 감지가 잠재적인 시크릿을 식별하면 GitLab이 감지된 시크릿을 강조 표시하는 경고를 표시합니다. 다음 중 하나를 선택할 수 있습니다:

• 시크릿을 제거하기 위해 댓글 또는 설명의 내용을 편집합니다.
• 변경 없이 내용을 추가합니다. 잠재적인 시크릿이 포함된 내용을 추가하기 전에 주의하세요.

감지는 브라우저에서 완전히 이루어집니다. 추가를 선택하지 않는 한 어떤 정보도 전송되지 않습니다.

최적화#

클라이언트 측 시크릿 감지의 효과를 극대화하려면:

• 경고를 신중하게 검토합니다. 진행하기 전에 항상 플래그가 지정된 내용을 조사합니다.
• 자리 표시자를 사용합니다. 실제 시크릿을 [REDACTED] 또는 와 같은 자리 표시자 텍스트로 대체합니다.