Dependabot 경고 정보

          Dependabot alerts 보안 위험이 되기 전에 취약한 종속성을 찾고 해결하는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

Dependabot alerts는 조직 소유 및 사용자 소유 저장소에서 지원됩니다.

이 기사에서

소프트웨어는 종종 다양한 원본의 패키지에 의존하여 무의식적으로 보안 취약성을 발생시키는 종속성 관계를 만듭니다. 코드가 알려진 보안 취약성이 있는 패키지에 의존하는 경우 시스템을 악용하려는 공격자의 대상이 되어 코드, 데이터, 고객 또는 기여자에게 액세스할 수 있습니다. Dependabot alerts 보안 버전으로 업그레이드하고 프로젝트를 보호할 수 있도록 취약한 종속성에 대해 알려 줍니다.

          Dependabot가 경고를 보낼 때

          Dependabot 는 리포지토리의 기본 분기를 검색하고 다음과 같은 경우 경고를 보냅니다.
  • 새 취약성이 에 추가됨 GitHub Advisory Database
  • 종속성 그래프가 변경됩니다(예: 패키지 또는 버전을 업데이트하는 커밋을 푸시하는 경우).

지원되는 에코시스템은 종속성 그래프에서 지원되는 패키지 에코시스템을 참조하세요.

경고 이해

취약한 종속성을 GitHub 검색하면 Dependabot 리포지토리의 Security and quality 탭 및 종속성 그래프에 경고가 표시됩니다. 각 경고에는 다음이 포함됩니다.

  • 영향을 받는 파일에 대한 링크
  • 취약성 및 심각도에 대한 세부 정보
  • 고정 버전에 대한 정보(사용 가능한 경우)

경고 보기 및 관리에 대한 자세한 내용은 Dependabot 경고 보기 및 업데이트을 참조하세요.

누가 경고를 사용하도록 설정할 수 있나요?

리포지토리 관리자 및 조직 소유자는 Dependabot alerts을(를) 리포지토리 및 조직에 대해 활성화할 수 있습니다. 사용하도록 설정 GitHub 하면 즉시 종속성 그래프를 생성하고 식별되는 취약한 종속성에 대한 경고를 만듭니다. 리포지토리 관리자는 추가 사용자 또는 팀에 대한 액세스 권한을 부여할 수 있습니다.

          [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)을(를) 참조하세요.

경고 소유권 및 할당

쓰기 액세스 권한이 이상인 사용자는 리포지토리 공동 작업자, 팀 또는 AI 에이전트에 할당 Dependabot alerts 하여 취약성 수정에 대한 명확한 소유권을 설정할 수 있습니다. 할당은 각 경고에 대한 책임이 있는 사용자를 추적하고 취약성이 간과되는 것을 방지하는 데 도움이 됩니다.

다음과 같은 유형의 에이전트에 경고를 할당할 수 있습니다.

          Copilot
          **는 GitHub기본 제공 AI 에이전트입니다.
  • 리포지토리 설정에서 사용하도록 설정된 경우 Codex 또는 Claude와 같은 타사 에이전트

개인 또는 팀에 경고가 할당되면 담당자가 알림을 받고 경고 목록에 해당 이름이 표시됩니다. 담당자별로 경고를 필터링하여 진행 상황을 추적할 수 있습니다.

에이전트에 경고가 할당되면 에이전트는 자동으로 세션을 만들고 제안된 수정 사항으로 초안 끌어오기 요청을 엽니다. 에이전트가 수정을 생성할 수 없는 경우 담당자로 유지되며 경고 타임라인에서 세션 보기를 클릭하여 에이전트의 로그를 검토할 수 있습니다.

참고

할당 표시는 현재 리포지토리 수준 경고 보기로 제한됩니다. 조직 전체 보안 개요에는 경고 할당이 표시되지 않습니다.

경고의 담당자가 변경되면 GitHub 웹후크 이벤트를 보냅니다assignees_changed. 이 이벤트를 사용하여 워크플로를 트리거하거나 할당 데이터를 외부 시스템과 동기화할 수 있습니다. 자세한 내용은 웹후크 이벤트 및 페이로드을(를) 참조하세요.

자동화 및 통합

REST API를 사용하여 프로그래밍 방식으로 경고 할당을 관리할 수 있습니다. 자세한 내용은 Dependabot alerts에 대한 REST API 엔드포인트을(를) 참조하세요.

경고 할당에 대한 자세한 내용은 Dependabot 경고 보기 및 업데이트을 참조하세요.

경고 알림 작동 방식

기본적으로 GitHub 다음과 같은 사용자에게 새 경고에 대한 이메일 알림을 보냅니다.

  • 리포지토리에 대한 쓰기, 유지 관리 또는 관리자 권한 사용
  • 리포지토리를 감시하고 보안 경고 또는 리포지토리의 모든 활동에 대한 알림을 사용하도록 설정했습니다.

받을 알림 유형을 선택하거나 사용자 알림의 설정 페이지에서 알림을 완전히 해제하여 기본 동작을 재정의할 수 있습니다 https://github.com/settings/notifications.

알림 기본 설정에 관계없이 처음 사용하도록 설정된 Dependabot 경우 GitHub 리포지토리에 있는 모든 취약한 종속성에 대한 알림을 보내지 않습니다. 대신 알림 기본 설정에서 허용하는 경우 활성화된 후 Dependabot 식별된 새로운 취약한 종속성에 대한 알림을 받게 됩니다.

너무 많은 알림을 받는 것이 우려되는 경우 위험 수준이 낮은 경고를 자동으로 해제하는 것이 좋습니다 Dependabot 자동 심사 규칙 . 규칙은 경고 알림이 전송되기 전에 적용되므로 생성 시 자동으로 해제되는 경고는 알림을 보내지 않습니다. Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.

또는 주간 전자 메일 다이제스트를 옵트인하거나 활성화된 상태로 유지하면서 Dependabot alerts 알림을 완전히 끌 수도 있습니다.

제한점

          Dependabot alerts 몇 가지 제한 사항이 있습니다.

  • 경고는 모든 보안 문제를 감지할 수 없습니다. 정확한 검색을 위해 항상 종속성을 검토하고 매니페스트 및 잠금 파일을 최신 상태로 유지합니다.

  • 새 취약성은 GitHub Advisory Database에 나타나고 경고를 트리거하는 데 시간이 걸릴 수 있습니다.

  • GitHub에서 검토한 권고만이 경고를 발령합니다.

  • Dependabot 는 보관된 리포지토리를 검사하지 않습니다.

  • GitHub Actions의 경우 SHA 버전 관리가 아닌 의미 체계 버전 관리 작업을 사용하는 작업에 대해서만 경고가 생성됩니다.

            GitHub 리포지토리에 대한 취약성을 공개적으로 공개하지 않습니다.

추가 읽기