Is github private repositroy safe?

개요

hello-world-auto-store는 private respository 임에도 불구하고, PR 시 GitGuardian의 메세지가 뜨기 때문에 의문이 들어 찾아보게 되었다.

GitGuardian의 메세지 일부

해당 프로젝트에는 수 많은 외부 API의 key와 권한을 가지고 있기 때문에 보안이 중요하다.
- 현재는 해당 비밀("secret")을 Jasypt 라이브러리를 이용해 암호화해 다루고 있다.
위의 행위 또한 보안을 위한 것이기 때문에, 결국 근본적인 질문이 남게 된다.
- Is Github private repository safe?

There have been several reported cases of GitHub repository hacks like that of 2019 where hackers wiped Git repositories.
- 참고
지난 2019년 한국인터넷진흥원(KISA)는 깃허브를 비롯한 온라인 소스코드 저장소의 보안 설정이 취약해 프로젝트가 외부에 공개돼 정보가 탈취되고, 해커가 금전 갈취를 시도하는 사고가 발생하고 있다며 보안 권고문을 발표한 바 있다.
이에 대한 해결 방안으로 패스워드 관리 강화, 소스코드 저장소 접근 통제 및 프로젝트 공개 수준 점검, 외부 인터넷과 차단된 곳에서 개발 환경 운영 등을 제안했다.
- 참고

즉, 위에서 언급된 패스워드 관리 강화, 소스코드 저장소 접근 통제 및 프로젝트 공개 수준 점검, 외부 인터넷과 차단된 곳에서 개발 환경 운영 방안을 잘 지키지 않아 문제가 발생한 것으로 확인된다.
private repository 또한 조건부 안전한 이유로 언급되는 것들로는
- github 계정 자체가 탈취되는 경우
- private repository라고 하더라도 개인이 혼자 사용하는 것이 아니라 그룹에서 사용하는 경우
  - 결국 그룹원에 의해서, 혹은 그룹원의 계정이 탈취되는 경우라 할 수 있다.
- 인증되지 않은 접근이 가능하기 때문이다. 개발자들은 많은 경우 회사 내 주요 서버나 데이터로 무제한 접근이 가능하다.
  - 결국 계정의 탈취가 근본적인 이유로 해석된다.
- 깃허브가 제대로 된 모니터링을 받고 있지 않아서 생기는 문제인데, 깃허브에서는 얼마든지 개발자 혹은 악성 내부자가 활개를 칠 수 있다.
  - 마찬가지이다.
결국에 github 계정의 탈취가 원인이 되는 경우들이 주를 이뤘다.
~관련 정보가 적어 자세히 이해하지 못했으나, github의 소스코드가 virtual 서버에 올라갈 때 raw 하게 올라간다는 이슈도 보이기는 했다.~

Github 계정 정보가 안전하다면, private repository의 정보가 탈취될 염려는 하지 않아도 될 것으로 판단된다.
그럼에도 github에서 제공하는 방식들(gitguardian도 마찬가지)은 계정이 탈취당하는 경우에도 대비하는 것으로 판단된다.
- GitHub will automatically scan public repositories for secrets and inform the issuer of the key when it detects a secret, who can then inform you or revoke the token.
- If you enable secret scanning on private repositories (it is not enabled by default), GitHub will inform you via email if a secret is detected.

You are seeing this because you or someone else with access to this repository has authorized GitGuardian to scan your pull request.