안녕하세요!

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

연락하기

소개

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

역량

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

프로세스 자동화

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

맞춤 시스템

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

미션

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

기술의 민주화

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

IT와 비즈니스 통합

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

맞춤 솔루션

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

기술로 비즈니스를 혁신하세요

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

연락하기

프로젝트가 있으신가요? 아래 양식을 작성해 주시면 빠르게 답변드리겠습니다.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

GitHub Copilot의 보안 및 책임 있는 사용

소프트웨어 개발에 적용된 인공지능은 측면에서 엄청난 이점을 제공합니다. 생산성' 측면에서 '새로운 책임'을 도입합니다. 안전, 데이터 프라이버시 e 윤리적 사용. GitHub Copilot은 여러 가지를 통합합니다. 제안 필터링부터 자동 검사까지 다계층 보안 보호 에이전트 실행 환경 격리부터 데이터 보호까지 코드 관리 조직의.

이 시리즈의 마지막 기사에서는 모든 보안 보호 기능을 심층적으로 살펴보겠습니다. Copilot에 통합됨, 책임감 있는 사용을 위한 지침, 개인 정보 보호 고려 사항 AI 생성 코드 검토를 위한 데이터 및 모범 사례.

전체 시리즈 개요

#	Articolo	집중하다
1	기초와 사고방식	설정과 사고방식
2	개념 및 요구사항	아이디어에서 MVP까지
3	백엔드/프런트엔드 아키텍처	API 및 데이터베이스
4	코드의 구조	조직 및 명칭
5	신속한 엔지니어링	MCP 프롬프트 및 에이전트
6	테스트와 품질'	단위, 통합, E2E
7	선적 서류 비치	읽어보기, API 문서, ADR
8	배포 및 DevOps	도커, CI/CD
9	진화	확장성 및 유지 관리
10	코딩 에이전트	GitHub 자율 에이전트
11	코드 검토	자동 검토
12	부조종사 편집	다중 파일 편집
13	GitHub 스파크	코드가 필요 없는 마이크로 앱
14	부조종사 공간	공유 컨텍스트
15	AI 모델	다중 모델 및 선택
16	맞춤화	지침 및 설정
17	기업 및 비즈니스	계획, 분석, 정책
18	확장 프로그램 및 마켓플레이스	확장 및 통합
19	현재 위치 → 안전 및 책임 있는 사용	보안 및 규정 준수

통합 보안 보호

GitHub Copilot에는 다음과 같이 작동하는 다층 보안 보호 시스템이 포함되어 있습니다. 워크플로의 다양한 단계: 제안 생성부터 생성까지 자율 에이전트가 실행될 때까지 풀 요청.

CodeQL을 사용한 자동 스캔

Quando il 코딩 에이전트 Copilot이 풀 요청을 생성하면 코드가 생성됩니다. 자동으로 분석됩니다. CodeQL, 정적 분석 엔진 GitHub 보안. 이 스캔은 잠재적으로 코드 패턴을 식별합니다. 코드가 승인되기 전에 취약합니다.

PR에 대한 자동 보안 검사

확인하다도구탐지 대상실행될 때
코드 스캐닝CodeQL코드의 취약점(SQL 주입, XSS, 경로 탐색 등)상담원이 생성한 각 PR
권고 점검GitHub 자문 DB알려진 취약점(CVE)이 있는 종속성패키지 파일에 대한 모든 변경 사항
비밀 스캐닝GitHub 비밀 스캐너토큰, API 키, 코드에 하드코딩된 비밀번호모든 커밋
의존성 검토종속성 그래프취약점 또는 문제가 있는 라이센스에 대한 새로운 종속성종속성 파일에 대한 변경 사항

CodeQL: 취약점 감지됨

범주	Esempi	언어	심각성'
주입	SQL 주입, 명령 주입, LDAP 주입	자바, Python, JS, C#, Go, Ruby	비판적인
교차 사이트 스크립팅	반영된 XSS, 저장된 XSS, DOM 기반 XSS	JS, 타입스크립트, 자바, 파이썬	높은
경로 순회	디렉터리 탐색, 파일 포함	모든 사람	높은
안전하지 않은 역직렬화	신뢰할 수 없는 데이터의 역직렬화	자바, 파이썬, C#	비판적인
손상된 인증	약한 해싱, 타이밍 공격, 인증 확인 누락	모든 사람	높은
민감한 데이터 노출	민감한 데이터 로깅, 하드코딩된 자격 증명	모든 사람	중간-높음
보안 구성 오류	프로덕션의 디버그 모드, 약한 TLS, 허용되는 CORS	자바, 파이썬, JS	중간
암호화 문제	약한 알고리즘, 예측 가능한 무작위, ECB 모드	모든 사람	중간-높음

GitHub 자문 데이터베이스

Il GitHub 자문 데이터베이스 지속적으로 업데이트되는 데이터베이스입니다 소프트웨어 종속성의 알려진 취약점. Copilot이 다음을 포함하는 코드를 생성하는 경우 새로운 종속성을 추가하거나 기존 종속성을 업데이트하면 시스템이 자동으로 다음 사항을 확인합니다. 지정된 버전에는 알려진 취약점이 있습니다.

자문 데이터베이스가 지원하는 생태계

생태계	모니터링되는 파일	추적된 취약점
npm(Node.js)	package.json, 패키지-lock.json	CVE, GHSA, npm 권고
핍(파이썬)	요구 사항.txt, Pipfile, pyproject.toml	CVE, GHSA, PyPI 권고
메이븐(자바)	pom.xml	CVE, GHSA, Maven 권고
그래들(자바)	build.gradle, build.gradle.kts	CVE, GHSA
NuGet(.NET)	.csproj, packages.config	CVE, GHSA, NuGet 권고
RubyGems	Gemfile, Gemfile.lock	CVE, GHSA, Ruby 권고
Go 모듈	go.mod, go.sum	CVE, GHSA
화물(러스트)	Cargo.toml, Cargo.lock	CVE, GHSA, RustSec

비밀 스캐닝

Il 비밀 스캐너 GitHub는 각 커밋을 분석하여 패턴을 식별합니다. 토큰, API 키, 비밀번호 및 공개해서는 안 되는 기타 비밀에 해당하는 것입니다. 소스 코드에 존재합니다. 이는 사용할 때 특히 중요합니다. 모델이 때때로 패턴을 제안할 수 있으므로 AI가 코드를 생성합니다. 실제 자격증과 비슷합니다.

감지된 비밀 유형

범주Esempi패턴
클라우드 제공업체AWS 액세스 키, Azure 서비스 주체, GCP 서비스 계정AKIA*, azure_*, gcp_*
API 키스트라이프, Twilio, SendGrid, OpenAIsk_live_*, SG.*, sk-*
데이터베이스비밀번호가 포함된 연결 문자열postgres://*:*@*, mongodb+srv://*
OAuth 토큰GitHub, Google, Slack 토큰ghp_*, gho_*, xoxb-*
인증서개인 키, 인증서-----RSA 개인 키 시작----
CI/CDCircleCI, Travis CI, 젠킨스 토큰원_*, TRAVIS_*

코딩 에이전트 보안

Il 코딩 에이전트 Copilot은 격리된 샌드박스 환경에서 작동합니다. 보안 위험을 최소화하기 위해 고안된 특정 제한 사항입니다. 이러한 보호 에이전트는 코드를 수정하고 명령을 실행할 수 있으므로 기본입니다. 풀 리퀘스트를 독립적으로 생성할 수 있습니다.

샌드박스 및 제한 사항

에이전트 실행 환경 보호

보호설명동기 부여
격리된 샌드박스에이전트는 외부 네트워크에 접근하지 않고 격리된 컨테이너에서 실행됩니다.데이터 유출 및 무단 액세스를 방지합니다.
비밀에 액세스할 수 없습니다.에이전트는 환경 변수, 토큰 또는 저장소 자격 증명에 액세스할 수 없습니다.자격 증명 및 민감한 데이터를 보호합니다.
저장소에 대한 읽기 전용 액세스에이전트는 코드를 읽지만 전용 분기에만 씁니다.보호된 분기에 대한 직접적인 변경을 방지합니다.
지점 부조종사/* 전용변경 사항은 접두사가 붙은 분기로 제한됩니다. copilot/메인 코드에서 AI 변경 사항 격리
워크플로 승인GitHub 작업은 에이전트 PR에서 자동으로 수행되지 않습니다.파이프라인에서 테스트되지 않은 코드의 실행을 방지합니다.
보안 검사가 필요합니다에이전트가 생성한 모든 PR에 대한 CodeQL 자동 스캔생성된 코드의 보안 자동 검증

중요: 에이전트는 오류가 없는 것이 아닙니다.

내장된 보호 기능에도 불구하고 코딩 에이전트는 문제가 있는 코드를 생성할 수 있습니다. 자동 스캐닝을 피해가는 보안. 논리적 취약점, 문제 인증 및 비즈니스 로직 버그는 정적 분석으로 감지하기 어렵습니다.

사람의 검토는 항상 필요합니다. 대리인이 생성한 PR은 다음과 같습니다. 다른 PR과 동일하거나 그 이상으로 엄격하게 검토됩니다.

코딩 에이전트 액세스 모델

코딩 에이전트 보안 흐름

# Ciclo di vita sicuro del Coding Agent

1. ASSEGNAZIONE
   - Utente assegna issue a "copilot" su GitHub
   - GitHub verifica permessi dell'utente sul repo
   - Se autorizzato, l'agente viene attivato

2. ANALISI (sandbox isolato)
   - L'agente legge il codice del repository (read-only)
   - Analizza l'issue e il contesto
   - NON ha accesso a: secrets, env vars, credenziali
   - NON ha accesso a: rete esterna, altri repository

3. IMPLEMENTAZIONE (branch isolato)
   - Crea branch copilot/issue-{number}
   - Applica modifiche SOLO su questo branch
   - Esegue test nel sandbox
   - NON può' modificare branch protetti (main, develop)

4. PULL REQUEST
   - Crea PR dal branch copilot/* verso il branch target
   - CodeQL scan automatico sul codice generato
   - Secret scanning sul diff
   - Dependency review per nuove dipendenze
   - Workflow NON eseguiti automaticamente (require approval)

5. REVIEW UMANA
   - Lo sviluppatore rivede la PR
   - Approva l'esecuzione dei workflow CI/CD
   - Merge manuale dopo approvazione

데이터 프라이버시

데이터 개인 정보 보호는 AI 비서를 채택할 때 주요 관심사 중 하나입니다. 소스 코드에 접근할 수 있는 사람. GitHub는 다양한 계획에 대한 구체적인 보증을 제공합니다. 개인 계획과 비즈니스/기업 계획 간에는 상당한 차이가 있습니다.

요금제별 데이터 정책

계획에 따른 데이터 처리

나는 기다린다무료 / 프로 / 프로+사업기업
훈련에 사용되는 데이터선택 해제 가능아니요, 절대로아니요, 절대로
신속한 보존임시(개선을 위해)보존되지 않음보존되지 않음
제안 보관일시적인보존되지 않음보존되지 않음
원격 측정예(익명처리됨)최소(사용량 측정항목)구성 가능
콘텐츠 제외사용할 수 없음예, 조직 수준에서예, 기업 수준에서
거주 날짜미국 기반미국 기반구성 가능(EU, 미국)
코드베이스 인덱싱 공유해당 없음해당 없음교육용이 아닌 조직에서 공유됨

비즈니스/기업 약속

Business 및 Enterprise 요금제의 경우 GitHub는 다음과 같은 명시적인 보증을 제공합니다. 저장소 코드, Copilot으로 보내는 메시지 및 제안 사항 당신은 결코 AI 모델을 훈련하는 데 사용되지 않습니다.

이 보장은 Enterprise 플랜에 색인된 리포지토리에도 적용됩니다. 의미론적 색인은 관련성을 향상시키기 위해서만 사용됩니다. 모델 교육이 아닌 조직의 사용자에 대한 응답입니다.

개인 정보 보호 구성

개별 요금제(무료, Pro, Pro+)의 경우 기본 설정을 구성할 수 있습니다. GitHub 계정 설정을 통한 개인 정보 보호.

개별 계획에 대한 개인정보 보호 구성

# Percorso: github.com > Settings > Copilot > Policies

1. TELEMETRY
   [x] Allow GitHub to use my data for product improvements
   [ ] Allow GitHub to use my code snippets for training

   Nota: Deselezionare la seconda opzione per impedire
   l'uso del codice per il training dei modelli.

2. SUGGESTIONS MATCHING PUBLIC CODE
   [x] Block suggestions matching public code
   [ ] Allow suggestions matching public code

   Nota: Abilitare il blocco per evitare suggerimenti
   che corrispondono a codice pubblico esistente,
   riducendo il rischio di violazione licenze.

3. CONTENT EXCLUSION (Solo Business/Enterprise)
   Configurato a livello organizzazione.
   Esclude file specifici dall'elaborazione di Copilot.

공개 코드와 일치하는 제안

기능성 공개 코드와 일치하는 제안 차단 이는 규정 준수에 관심이 있는 조직에 특히 중요합니다. 라이센스. 활성화되면 Copilot은 각 제안을 코드 인덱스와 비교합니다. 공개. 유의미한 일치(약 150자 이상)가 발견되면 제안이 차단되었습니다.

이 메커니즘은 의도하지 않게 적용 코드를 포함하는 위험을 줄입니다. 호환되지 않는 라이선스(예: 독점 프로젝트의 GPL)가 제거되지는 않습니다. 완전히. 사람의 검토가 여전히 중요합니다.

책임 있는 사용을 위한 지침

GitHub Copilot을 책임감 있게 사용하는 것은 기술적 보안 그 이상입니다. 여기에는 다음이 포함됩니다. 생성된 코드의 검증, AI의 한계에 대한 인식, 투명성 제안의 편견에 대한 사용 및 주의.

AI 생성 코드 검증

각 Copilot 제안은 작성자가 작성한 코드로 처리되어야 합니다. 외부 주니어 개발자 프로젝트의 전체 맥락을 모르는 사람. 이는 귀하가 적용하는 것과 동일한(또는 더 높은) 수준의 정밀 조사를 적용하는 것을 의미합니다. 새로운 팀원의 PR에.

AI 생성 코드에 대한 검증 체크리스트

영역확인해야 할 사항우선 사항'권장 도구
안전모든 엔드포인트에서 입력 검증비판CodeQL, ESLint 보안 규칙
인증 및 권한 관리비판직접 검토 + 테스트
파일 시스템 액세스(경로 탐색)높은CodeQL, 수동 검토
하드코딩된 비밀 없음비판비밀 스캐너, git-secrets
품질'이해하기 쉽고 유지 관리하기 쉬운 코드높은코드 리뷰, SonarQube
프로젝트 패턴 준수평균ESLint, 사용자 정의 규칙
불필요한 중복 코드 없음평균소나큐브, jscpd
단정올바른 비즈니스 로직비판단위 테스트, 통합 테스트
관리형 엣지 케이스높은속성 기반 테스트
적절한 오류 처리높은직접 검토 + 테스트
성능N+1 쿼리 없음높은쿼리 프로파일러, 수동 검토
캐싱의 적절한 사용평균부하 테스트
허용 가능한 알고리즘 복잡성평균벤치마킹

검토해야 할 중요한 영역

일부 코드 영역은 AI가 생성할 때 특별한 주의가 필요합니다. 이러한 영역의 오류는 심각한 결과를 초래할 수 있습니다.

고위험(심층 검토)

인증 및 승인
세션 관리
암호화 및 해싱
사용자 입력이 포함된 데이터베이스 쿼리
파일 업로드 및 관리
결제관리
공개적으로 노출된 API
데이터 마이그레이션
삭제/제거 작업
CORS 및 CSP 구성

보통 위험(표준 검토)

복잡한 비즈니스 로직
양식 및 입력 유효성 검사
애플리케이션 상태 관리
서비스 간 통신
로깅 및 모니터링
오류 관리 및 재시도 논리
캐싱 및 무효화
비율 제한
직렬화/역직렬화
미들웨어 구성

찾아야 할 위험한 코드 패턴

AI 생성 코드의 위험한 패턴 예

# ============================================
# PATTERN PERICOLOSI DA IDENTIFICARE
# ============================================

# 1. SQL INJECTION
# PERICOLOSO: concatenazione diretta di input utente
query = f"SELECT * FROM users WHERE name = '{user_input}'"

# SICURO: query parametrizzata
cursor.execute("SELECT * FROM users WHERE name = %s", (user_input,))


# 2. PATH TRAVERSAL
# PERICOLOSO: path non sanitizzato
const filePath = path.join(uploadDir, req.params.filename);
fs.readFile(filePath, callback);

# SICURO: validazione del path
const safeName = path.basename(req.params.filename);
const filePath = path.join(uploadDir, safeName);
if (!filePath.startsWith(uploadDir)) throw new Error('Invalid path');
fs.readFile(filePath, callback);


# 3. CROSS-SITE SCRIPTING (XSS)
# PERICOLOSO: rendering diretto di input utente
element.innerHTML = userComment;

# SICURO: escape o uso di textContent
element.textContent = userComment;
# oppure con libreria di sanitizzazione
element.innerHTML = DOMPurify.sanitize(userComment);


# 4. HARDCODED SECRETS
# PERICOLOSO: credenziali nel codice
const apiKey = "sk-1234567890abcdef";
const dbPassword = "mySecretP@ssw0rd";

# SICURO: variabili d'ambiente
const apiKey = process.env.API_KEY;
const dbPassword = process.env.DB_PASSWORD;


# 5. WEAK CRYPTOGRAPHY
# PERICOLOSO: algoritmi obsoleti
const hash = crypto.createHash('md5').update(password).digest('hex');

# SICURO: algoritmi moderni con salt
const hash = await bcrypt.hash(password, 12);


# 6. MISSING AUTH CHECKS
# PERICOLOSO: endpoint senza verifica autorizzazione
app.delete('/api/users/:id', async (req, res) => {
  await User.findByIdAndDelete(req.params.id);
  res.json({ success: true });
});

# SICURO: con middleware di auth e verifica permessi
app.delete('/api/users/:id', authenticate, authorize('admin'), async (req, res) => {
  // Verifica che l'utente possa eliminare questo specifico record
  const user = await User.findById(req.params.id);
  if (!canDelete(req.user, user)) return res.status(403).json({ error: 'Forbidden' });
  await User.findByIdAndDelete(req.params.id);
  res.json({ success: true });
});


# 7. INSECURE DESERIALIZATION
# PERICOLOSO: deserializzazione di dati non fidati
const data = JSON.parse(req.body.serializedData);
eval(data.code); // MAI fare eval di input utente!

# SICURO: validazione schema + no eval
const schema = z.object({ name: z.string(), age: z.number() });
const data = schema.parse(JSON.parse(req.body.data));

규정 준수 및 감사

규제 요구 사항이 적용되는 조직의 경우 규정 준수는 한 가지 측면입니다. AI 도구를 채택하는 데 매우 중요합니다. GitHub Copilot은 다양한 기능을 제공합니다. 기능'을 통해 규정 준수를 지원합니다.

인증 및 표준

GitHub Copilot 인증

인증범위관련성
SOC 2 유형 II보안, 가용성, 처리 무결성, 기밀성, 개인 정보 보호SaaS 클라우드 서비스 표준
ISO 27001정보보호 관리체계정보보안 국제표준
GDPR 준수EU 개인 데이터 보호EU 시민의 데이터를 처리하는 조직의 경우 필수입니다.
CCPA캘리포니아 소비자 개인 정보 보호법캘리포니아 주민의 개인정보 보호
FedRAMP연방 위험 및 승인 관리미국 연방 기관에 필수(GitHub Enterprise Cloud)

GDPR 및 데이터 상주

유럽 조직의 경우 GDPR 준수는 종종 협상할 수 없는 요구 사항입니다. GitHub Copilot이 주요 GDPR 요구 사항을 충족하는 방법은 다음과 같습니다.

GitHub Copilot 및 GDPR

GDPR 원칙	Copilot의 준수 방법
데이터 최소화	비즈니스/기업: 처리 후 프롬프트 및 제안이 유지되지 않음
목적의 제한	비즈니스/기업: 모델 학습에 사용되지 않는 데이터
투명도	데이터 처리 방법에 대한 공개 문서
접근권	조직 관리자가 사용할 수 있는 감사 로그
삭제할 권리	GitHub 지원을 통한 주문형 데이터 제거
데이터 처리 계약	비즈니스/엔터프라이즈 고객이 사용할 수 있는 DPA
거주 날짜	Enterprise: EU 처리 옵션(확장)

규정 준수를 위한 감사 로깅

Copilot 감사 로그는 조직의 AI 활동에 대한 전체 추적을 제공합니다. 이러한 로그는 내부 및 외부 감사 중에 규정 준수를 입증하는 데 필수적입니다.

스크립트 - 규정 준수 보고서를 위한 감사 로그 내보내기

#!/bin/bash
# Script per esportare audit logs di Copilot per compliance report

ORG="my-organization"
TOKEN="$GITHUB_TOKEN"
START_DATE="2026-01-01"
END_DATE="2026-01-31"
OUTPUT_FILE="copilot-audit-${START_DATE}-${END_DATE}.json"

echo "Exporting Copilot audit logs for $ORG..."
echo "Period: $START_DATE to $END_DATE"

# Fetch all Copilot-related audit events
curl -s \
  -H "Authorization: Bearer $TOKEN" \
  -H "Accept: application/vnd.github+json" \
  "https://api.github.com/orgs/$ORG/audit-log?phrase=action:copilot&created=${START_DATE}..${END_DATE}&per_page=100" \
  > "$OUTPUT_FILE"

# Count events by type
echo ""
echo "=== Event Summary ==="
cat "$OUTPUT_FILE" | python3 -c "
import json, sys
from collections import Counter
events = json.load(sys.stdin)
counts = Counter(e.get('action', 'unknown') for e in events)
for action, count in counts.most_common():
    print(f'  {action}: {count}')
print(f'\nTotal events: {len(events)}')
"

echo ""
echo "Report saved to: $OUTPUT_FILE"

콘텐츠 안전 및 라이선스

기술적 안전성 외에도 다음 사항을 고려하는 것이 중요합니다. 콘텐츠 안전 (생성된 콘텐츠의 적절성) 및 라이센스 준수 제안된 코드 중

콘텐츠 필터링

GitHub Copilot에는 콘텐츠가 포함된 제안을 차단하는 필터가 포함되어 있습니다. 부적절하거나 모욕적이거나 잠재적으로 해로울 수 있습니다. 이 필터는 두 가지 모두 작동합니다. 입력(사용자 프롬프트) 및 출력(생성된 제안)에서.

필터링 수준

수준	어떤 필터	Esempio
공격적인 콘텐츠	차별적 언어, 혐오표현	모욕적인 용어가 포함된 변수 또는 주석
위험한 코드	맬웨어 또는 악용에 대해 알려진 패턴	리버스 쉘, 키로거 패턴
개인 데이터	훈련을 통해 얻을 수 있는 PII	전화번호, 이메일, 실제 주소
공개 코드	라이센스 코드와 일치(선택 사항)	오픈소스 프로젝트와 동일한 코드 블록

라이센스 준수

Copilot이 코드를 제안하면 제안의 일부가 일치할 위험이 있습니다. 특정 라이센스가 적용되는 기존 코드에 적용됩니다. 이는 특히 다음과 관련이 있습니다. 독점 소프트웨어를 개발하는 조직.

라이센스 규정 준수 전략

전략구현유효성
공개 코드 일치 차단Copilot 설정에서 활성화높음(정확히 일치하는 경우)
라이센스 스캔FOSSA, Snyk, Black Duck과 같은 도구를 CI 파이프라인에 통합높음(중독으로 인해)
수동 코드 검토검토자는 중요하지 않은 코드의 독창성을 확인합니다.평균 (주관적)
회사 정책허용되는 라이선스에 대한 명확한 규칙 설정중간(응용 프로그램에 따라 다름)
IP 배상GitHub의 Business/Enterprise 요금제에 포함됨보호(법적 보장)

IP 배상(비즈니스/기업)

Business 및 Enterprise 요금제에는 조항이 포함됩니다. IP 배상: GitHub는 침해 주장이 제기될 경우 조직을 방어하기 위해 최선을 다하고 있습니다. Copilot이 생성한 코드와 관련된 지적 재산(사용자가 다음 조건을 충족하는 경우) 공개 코드 일치에 대한 필터를 활성화했습니다.

이 보호는 생성 후 사용자가 수정한 코드에는 적용되지 않으며, 필터가 비활성화된 상태에서 생성된 코드입니다.

플랫폼별 책임 있는 사용

GitHub Copilot은 각각 특정 고려 사항이 있는 여러 플랫폼에서 작동합니다. 책임있는 사용을 위해. 각각에 대한 지침은 다음과 같습니다.

플랫폼 지침

플랫폼주요 리스크모범 사례
IDE(인라인 완성)검토 없이 자동 수락수락하기 전에 각 제안을 읽어보세요. 코드를 이해한 후에만 Tab을 사용하세요.
부조종사 채팅맹목적으로 답을 믿으세요기술정보를 확인해보세요. Copilot은 그럴듯하지만 잘못된 응답을 생성할 수 있습니다.
CLI파괴적인 명령 실행실행하기 전에 항상 제안된 명령, 특히 rm, drop, delete를 확인하십시오.
코드 검토 AIAI 리뷰에만 의존AI 검토는 인간 검토를 대체하는 것이 아니라 보완적입니다.
코딩 에이전트검토되지 않은 독립형 코드에이전트 PR을 주니어 PR처럼 취급: 병합 전 심층 검토.
GitHub 스파크취약점이 있는 앱 생성보안 검토 없이 민감한 데이터가 포함된 애플리케이션에는 사용하지 마세요.

프롬프트에 민감한 데이터를 포함하지 마십시오

AI 도구를 책임감 있게 사용하기 위한 기본 규칙은 다음과 같습니다. 프롬프트에 실제 민감한 데이터를 포함하지 마십시오. 여기에는 다음이 포함됩니다.

프롬프트에 포함되지 않는 데이터

신임장: 비밀번호, API 토큰, SSH 키, 인증서
개인 데이터(PII): 실명, 이메일, 전화번호, 주소
재무 데이터: 신용카드번호, 은행계좌, 거래내역
의료 데이터: 보호 대상 건강 정보(PHI/HIPAA)
회사 비밀: 독점 알고리즘, 기밀 비즈니스 데이터
연결 문자열: 데이터베이스 또는 서비스에 대한 자격 증명이 포함된 URL

항상 사용 더미 데이터 또는 자리 표시자 Copilot에게 생성을 요청하면 민감한 데이터를 조작하는 코드입니다. 예를 들어 DB_PASSWORD=placeholder 실제 비밀번호 대신.

AI 생성 코드의 편향

AI 모델은 훈련 데이터에 존재하는 편향을 반영할 수 있습니다. 의 맥락에서 코드 생성 시 이는 인식해야 할 중요한 여러 형태로 나타납니다.

AI 생성 코드의 편향 유형

바이어스 유형	데모	Esempio	완화
언어적 편견	영어 중심 제안	변수, 주석, 메시지는 영어로만 제공됩니다.	저장소 지침에 언어 지정
기술적 편향	보다 일반적인 기술에 대한 선호	그는 또한 Angular 프로젝트에 React를 제안합니다.	스택 및 프레임워크에 대한 명확한 컨텍스트
패턴 편향	오래되었거나 안전하지 않은 패턴	비밀번호 해싱을 위한 MD5 제안	보안 검토, 리포지토리 지침 업데이트됨
성별 편견	댓글에 포함되지 않는 이름과 대명사	일반적인 "he"가 포함된 댓글입니다.	지침의 포괄성 지침
문화적 편견	데이터 형식에 대한 가정	미국 형식의 날짜(MM/DD/YYYY)	필수 지역 형식 지정

Copilot을 통한 보안 자동화

Copilot 자체는 보안을 향상시키는 도구로 사용될 수 있습니다. 코드를 작성하고 문제를 식별하고 수정 사항을 제안합니다.

보안 검토 요청

프롬프트 - AI 지원 보안 검토

Review this code for security vulnerabilities:

CONTEXT:
- This is a REST API endpoint for user registration
- It handles user input and stores data in PostgreSQL
- The API is publicly accessible (no auth required for registration)

CODE TO REVIEW:
[paste code here]

CHECK FOR:
1. Input validation (is ALL user input validated and sanitized?)
2. SQL injection (are queries parameterized?)
3. XSS (is output encoded?)
4. Authentication bypass (can this endpoint be abused?)
5. Rate limiting (is there protection against brute force?)
6. Data exposure (is sensitive data properly handled?)
7. Error handling (do error messages leak information?)
8. CSRF protection (is there a CSRF token?)
9. Password handling (is it properly hashed? is strength enforced?)
10. Logging (are sensitive fields excluded from logs?)

FOR EACH ISSUE FOUND:
- Severity: Critical / High / Medium / Low
- Description: What the vulnerability is
- Attack vector: How it could be exploited
- Fix: Specific code change to remediate
- Test: How to verify the fix works

완전한 안전 체크리스트

코딩에 AI를 사용하기 위한 보안 체크리스트

영역행동완전한
구성공개 코드와 일치하는 차단 제안 활성화☐
민감한 파일에 대한 콘텐츠 제외 구성☐
감사 로그 활성화(비즈니스/기업)☐
Copilot에 대한 조직 정책 구성☐
프로세스AI 생성 코드 검토를 위한 지침 정의☐
위험 및 모범 사례에 대해 팀 교육☐
CI/CD 파이프라인에 보안 스캐닝 통합☐
AI 관련 사고 관리 프로세스 구축☐
검토생성된 코드에서 입력 유효성 검사를 항상 확인하세요.☐
인증 및 권한 관리 확인☐
제안에서 하드코딩된 비밀을 찾아보세요.☐
생성된 코드의 라이선스 준수 여부를 확인하세요.☐
은둔프롬프트에 진짜 민감한 데이터를 넣지 마세요☐
데이터 보존 설정 확인☐
GDPR 준수 확인(해당하는 경우)☐
모니터링비정상적인 활동에 대한 감사 로그 모니터링☐
Copilot 정책의 정기적인 검토☐
새로운 보안 규칙으로 저장소 지침 업데이트☐

시리즈의 결론

이 기사는 GitHub Copilot의 전체 시리즈를 마무리합니다. 기사 19개 GitHub AI 도우미의 모든 측면을 다루었습니다. 초기 구성부터 보안까지 전체 수명주기 동안 소프트웨어 개발의.

안전과 책임감 있는 사용은 선택사항이 아닌 필수사항입니다. 개발에 AI 도구를 채택하는 모든 조직의 기본입니다. Copilot에 내장된 보호 기능은 견고한 기반을 제공하지만 책임은 있습니다. final은 항상 개발자와 팀의 몫입니다.

AI 보안을 위한 5가지 황금률

항상 확인하세요: 병합하기 전에 AI 생성 코드의 각 줄을 이해하고 검증해야 합니다.
데이터를 보호하세요: 프롬프트에 실제 민감한 데이터를 포함하지 마십시오. 중요한 파일에는 콘텐츠 제외를 사용하세요.
검사 자동화: CodeQL, 비밀 검색, 종속성 검토를 CI/CD 파이프라인에 통합하세요.
팀을 구성하세요: 위험을 인식하는 것이 최선의 방어입니다. AI 보안에 대한 정기 교육입니다.
모니터링 및 조정: 감사 로그 및 분석을 사용하여 위험 패턴을 식별하고 지속적으로 개선하세요.

전체 시리즈 요약

#Articolo배운 내용
1기초와 사고방식저장소 설정, AI 기반 사고방식, copilot-instructions.md
2개념 및 요구사항아이디어부터 MVP, 사용자 스토리, 기능 우선순위까지
3건축학클린 아키텍처, API 디자인, 데이터베이스 스키마
4코드 구조폴더 구조, 명명 규칙, 관심사 분리
5신속한 엔지니어링신속한 해부학, 고급 기술, MCP 에이전트
6테스트Copilot을 사용한 유닛, 통합, E2E, TDD
7선적 서류 비치README, OpenAPI, ADR, JSDoc, 변경 로그
8배포 및 DevOpsDocker, CI/CD, GitHub Actions, 상태 확인
9진화확장성, 리팩토링, 종속성, 모니터링
10코딩 에이전트자율 에이전트, PR 발행, 구성
11코드 검토PR AI 검토, 자동 피드백, 구성
12부조종사 편집다중 파일 편집, 지원 리팩토링, 차이점 미리보기
13GitHub 스파크자연어 마이크로앱, NLnet, 배포
14부조종사 공간공유 컨텍스트, 지식 기반, 협업
15AI 모델다중 모델, 모델 선택, GPT vs Claude vs Gemini
16맞춤화개인, 저장소, 조직 지침, MCP, 콘텐츠 제외
17기업가격, 분석, 정책, ROI, 출시 전략
18확장마켓플레이스, 스킬셋, MCP, 타사 에이전트
19안전CodeQL, 개인 정보 보호, 규정 준수, 책임 있는 사용, 감사

전체 시리즈를 팔로우해 주셔서 감사합니다. GitHub Copilot은 다음과 같은 강력한 도구입니다. 유능하고 책임감 있게 사용하면 소프트웨어 개발 방식을 변화시킬 수 있습니다. 핵심은 둘 사이의 적절한 균형을 찾는 것입니다. 생산력' e 품질', 사이 오토메이션 e 인간의 감독.

추가 리소스

GitHub Copilot 문서: docs.github.com/copilot
GitHub 보안 모범 사례: docs.github.com/code-security
OWASP 상위 10개: owasp.org/Top10
CodeQL 문서: codeql.github.com/docs
GitHub 자문 데이터베이스: github.com/advisories
책임 있는 AI 관행: ai.google/responsibility/responsible-ai-practices

시리즈 진행 - 완료됨

#	Articolo	상태
1	기초와 사고방식	✅
2	개념 및 요구사항	✅
3	백엔드/프런트엔드 아키텍처	✅
4	코드의 구조	✅
5	신속한 엔지니어링	✅
6	테스트와 품질'	✅
7	선적 서류 비치	✅
8	배포 및 DevOps	✅
9	진화	✅
10	코딩 에이전트	✅
11	코드 검토	✅
12	부조종사 편집	✅
13	GitHub 스파크	✅
14	부조종사 공간	✅
15	AI 모델	✅
16	고급 사용자 정의	✅
17	기업 및 비즈니스	✅
18	확장 프로그램 및 마켓플레이스	✅
19	안전과 책임 있는 사용	📍

확인하다	도구	탐지 대상	실행될 때
코드 스캐닝	CodeQL	코드의 취약점(SQL 주입, XSS, 경로 탐색 등)	상담원이 생성한 각 PR
권고 점검	GitHub 자문 DB	알려진 취약점(CVE)이 있는 종속성	패키지 파일에 대한 모든 변경 사항
비밀 스캐닝	GitHub 비밀 스캐너	토큰, API 키, 코드에 하드코딩된 비밀번호	모든 커밋
의존성 검토	종속성 그래프	취약점 또는 문제가 있는 라이센스에 대한 새로운 종속성	종속성 파일에 대한 변경 사항

범주	Esempi	패턴
클라우드 제공업체	AWS 액세스 키, Azure 서비스 주체, GCP 서비스 계정	AKIA, azure_, gcp_*
API 키	스트라이프, Twilio, SendGrid, OpenAI	sk_live_, SG., sk-*
데이터베이스	비밀번호가 포함된 연결 문자열	postgres://:@, mongodb+srv://
OAuth 토큰	GitHub, Google, Slack 토큰	ghp_, gho_, xoxb-*
인증서	개인 키, 인증서	-----RSA 개인 키 시작----
CI/CD	CircleCI, Travis CI, 젠킨스 토큰	원_, TRAVIS_

보호	설명	동기 부여
격리된 샌드박스	에이전트는 외부 네트워크에 접근하지 않고 격리된 컨테이너에서 실행됩니다.	데이터 유출 및 무단 액세스를 방지합니다.
비밀에 액세스할 수 없습니다.	에이전트는 환경 변수, 토큰 또는 저장소 자격 증명에 액세스할 수 없습니다.	자격 증명 및 민감한 데이터를 보호합니다.
저장소에 대한 읽기 전용 액세스	에이전트는 코드를 읽지만 전용 분기에만 씁니다.	보호된 분기에 대한 직접적인 변경을 방지합니다.
*지점 부조종사/ 전용**	변경 사항은 접두사가 붙은 분기로 제한됩니다. `copilot/`	메인 코드에서 AI 변경 사항 격리
워크플로 승인	GitHub 작업은 에이전트 PR에서 자동으로 수행되지 않습니다.	파이프라인에서 테스트되지 않은 코드의 실행을 방지합니다.
보안 검사가 필요합니다	에이전트가 생성한 모든 PR에 대한 CodeQL 자동 스캔	생성된 코드의 보안 자동 검증

나는 기다린다	무료 / 프로 / 프로+	사업	기업
훈련에 사용되는 데이터	선택 해제 가능	아니요, 절대로	아니요, 절대로
신속한 보존	임시(개선을 위해)	보존되지 않음	보존되지 않음
제안 보관	일시적인	보존되지 않음	보존되지 않음
원격 측정	예(익명처리됨)	최소(사용량 측정항목)	구성 가능
콘텐츠 제외	사용할 수 없음	예, 조직 수준에서	예, 기업 수준에서
거주 날짜	미국 기반	미국 기반	구성 가능(EU, 미국)
코드베이스 인덱싱 공유	해당 없음	해당 없음	교육용이 아닌 조직에서 공유됨

영역	확인해야 할 사항	우선 사항'	권장 도구
안전	모든 엔드포인트에서 입력 검증	비판	CodeQL, ESLint 보안 규칙
	인증 및 권한 관리	비판	직접 검토 + 테스트
	파일 시스템 액세스(경로 탐색)	높은	CodeQL, 수동 검토
	하드코딩된 비밀 없음	비판	비밀 스캐너, git-secrets
품질'	이해하기 쉽고 유지 관리하기 쉬운 코드	높은	코드 리뷰, SonarQube
	프로젝트 패턴 준수	평균	ESLint, 사용자 정의 규칙
	불필요한 중복 코드 없음	평균	소나큐브, jscpd
단정	올바른 비즈니스 로직	비판	단위 테스트, 통합 테스트
	관리형 엣지 케이스	높은	속성 기반 테스트
	적절한 오류 처리	높은	직접 검토 + 테스트
성능	N+1 쿼리 없음	높은	쿼리 프로파일러, 수동 검토
	캐싱의 적절한 사용	평균	부하 테스트
	허용 가능한 알고리즘 복잡성	평균	벤치마킹

인증	범위	관련성
SOC 2 유형 II	보안, 가용성, 처리 무결성, 기밀성, 개인 정보 보호	SaaS 클라우드 서비스 표준
ISO 27001	정보보호 관리체계	정보보안 국제표준
GDPR 준수	EU 개인 데이터 보호	EU 시민의 데이터를 처리하는 조직의 경우 필수입니다.
CCPA	캘리포니아 소비자 개인 정보 보호법	캘리포니아 주민의 개인정보 보호
FedRAMP	연방 위험 및 승인 관리	미국 연방 기관에 필수(GitHub Enterprise Cloud)

전략	구현	유효성
공개 코드 일치 차단	Copilot 설정에서 활성화	높음(정확히 일치하는 경우)
라이센스 스캔	FOSSA, Snyk, Black Duck과 같은 도구를 CI 파이프라인에 통합	높음(중독으로 인해)
수동 코드 검토	검토자는 중요하지 않은 코드의 독창성을 확인합니다.	평균 (주관적)
회사 정책	허용되는 라이선스에 대한 명확한 규칙 설정	중간(응용 프로그램에 따라 다름)
IP 배상	GitHub의 Business/Enterprise 요금제에 포함됨	보호(법적 보장)

플랫폼	주요 리스크	모범 사례
IDE(인라인 완성)	검토 없이 자동 수락	수락하기 전에 각 제안을 읽어보세요. 코드를 이해한 후에만 Tab을 사용하세요.
부조종사 채팅	맹목적으로 답을 믿으세요	기술정보를 확인해보세요. Copilot은 그럴듯하지만 잘못된 응답을 생성할 수 있습니다.
CLI	파괴적인 명령 실행	실행하기 전에 항상 제안된 명령, 특히 rm, drop, delete를 확인하십시오.
코드 검토 AI	AI 리뷰에만 의존	AI 검토는 인간 검토를 대체하는 것이 아니라 보완적입니다.
코딩 에이전트	검토되지 않은 독립형 코드	에이전트 PR을 주니어 PR처럼 취급: 병합 전 심층 검토.
GitHub 스파크	취약점이 있는 앱 생성	보안 검토 없이 민감한 데이터가 포함된 애플리케이션에는 사용하지 마세요.

영역	행동	완전한
구성	공개 코드와 일치하는 차단 제안 활성화	☐
	민감한 파일에 대한 콘텐츠 제외 구성	☐
	감사 로그 활성화(비즈니스/기업)	☐
	Copilot에 대한 조직 정책 구성	☐
프로세스	AI 생성 코드 검토를 위한 지침 정의	☐
	위험 및 모범 사례에 대해 팀 교육	☐
	CI/CD 파이프라인에 보안 스캐닝 통합	☐
	AI 관련 사고 관리 프로세스 구축	☐
검토	생성된 코드에서 입력 유효성 검사를 항상 확인하세요.	☐
	인증 및 권한 관리 확인	☐
	제안에서 하드코딩된 비밀을 찾아보세요.	☐
	생성된 코드의 라이선스 준수 여부를 확인하세요.	☐
은둔	프롬프트에 진짜 민감한 데이터를 넣지 마세요	☐
	데이터 보존 설정 확인	☐
	GDPR 준수 확인(해당하는 경우)	☐
모니터링	비정상적인 활동에 대한 감사 로그 모니터링	☐
	Copilot 정책의 정기적인 검토	☐
	새로운 보안 규칙으로 저장소 지침 업데이트	☐

#	Articolo	배운 내용
1	기초와 사고방식	저장소 설정, AI 기반 사고방식, copilot-instructions.md
2	개념 및 요구사항	아이디어부터 MVP, 사용자 스토리, 기능 우선순위까지
3	건축학	클린 아키텍처, API 디자인, 데이터베이스 스키마
4	코드 구조	폴더 구조, 명명 규칙, 관심사 분리
5	신속한 엔지니어링	신속한 해부학, 고급 기술, MCP 에이전트
6	테스트	Copilot을 사용한 유닛, 통합, E2E, TDD
7	선적 서류 비치	README, OpenAPI, ADR, JSDoc, 변경 로그
8	배포 및 DevOps	Docker, CI/CD, GitHub Actions, 상태 확인
9	진화	확장성, 리팩토링, 종속성, 모니터링
10	코딩 에이전트	자율 에이전트, PR 발행, 구성
11	코드 검토	PR AI 검토, 자동 피드백, 구성
12	부조종사 편집	다중 파일 편집, 지원 리팩토링, 차이점 미리보기
13	GitHub 스파크	자연어 마이크로앱, NLnet, 배포
14	부조종사 공간	공유 컨텍스트, 지식 기반, 협업
15	AI 모델	다중 모델, 모델 선택, GPT vs Claude vs Gemini
16	맞춤화	개인, 저장소, 조직 지침, MCP, 콘텐츠 제외
17	기업	가격, 분석, 정책, ROI, 출시 전략
18	확장	마켓플레이스, 스킬셋, MCP, 타사 에이전트
19	안전	CodeQL, 개인 정보 보호, 규정 준수, 책임 있는 사용, 감사