GitHub: MCP 서버를 통한 시크릿 스캔 GA 출시——AI 에이전트가 커밋 전 자격 증명 탐지

GitHub가 5월 5일 GitHub MCP 서버를 통한 시크릿 스캔의 일반 제공(GA)을 발표했습니다——AI 코딩 에이전트가 코드가 리포지토리에 도달하기 전에 노출된 자격 증명을 탐지할 수 있는 도구입니다.

MCP(모델 컨텍스트 프로토콜)는 AI 에이전트와 언어 모델이 표준화된 방식으로 외부 도구와 데이터를 호출할 수 있는 개방형 프로토콜입니다. 시크릿 스캔은 코드에 노출된 API 키, 비밀번호, 인증서 및 기타 자격 증명의 탐지입니다.

이 도구는 실제로 어떻게 작동합니까?

통합은 MCP 호환 IDE 및 Copilot CLI와 함께 작동합니다: 개발자 또는 에이전트가 “Scan my current changes for exposed secrets”와 같은 명령으로 변경 사항 스캔을 요청하고 수정이 필요한 파일과 줄 목록을 받을 수 있습니다.

스캔은 커밋 전에 수행되어 보안 제어를 개발 주기의 왼쪽으로 이동시킵니다(시프트 레프트)——자격 증명이 삭제하기 더 어려운 Git 기록에 들어가기 전에 로컬에서 차단됩니다.

GA 버전의 새로운 기능은 무엇입니까?

새로운 GA 버전은 리포지토리 및 조직 수준의 푸시 보호 사용자 정의 설정을 준수합니다. 이는 어떤 유형의 시크릿을 작성할 수 있는지 또는 없는지에 관한 엔터프라이즈 규칙이 에이전트가 스캔을 실행할 때도 적용되어 수동 및 에이전트 워크플로우 간의 불일치를 방지함을 의미합니다.

동시에 무엇이 발표되었습니까?

같은 날 MCP 서버를 통한 종속성 스캔도 공개 미리 보기로 발표되었습니다——GitHub Advisory Database와 통합된 종속성 취약점 스캔입니다. 개발 팀은 자연어를 통해 사용 중인 패키지와 관련된 CVE 개요를 확인할 수 있습니다.

두 도구는 함께 개발 초기 단계에서 AI 지원 코딩 워크플로우를 더 안전하게 만들며, MCP가 단순한 코드 생성 채널이 아닌 에이전트 개발 도구의 표준 보안 확장이 되고 있음을 보여줍니다.