Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정

자신만의 자동 심사 규칙을 만들어 해제되거나 다시 알림 설정되는 경고와 Dependabot에서 끌어오기 요청을 열고 싶은 경고를 제어할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

  • 조직 소유자
  • 보안 관리자
  • 관리자 액세스 권한이 있는 사용자(리포지토리에 대한 자동 심사 규칙을 활성화하고, 비활성화하고, 볼 수 있으며 사용자 지정 자동 심사 규칙을 만들 수 있습니다.)

모든 리포지토리 유형에 GitHub 사전 설정 를 사용할 수 있습니다.

사용자 지정 자동 심사 규칙 는 다음 리포지토리 유형에 사용할 수 있습니다.

  • GitHub.com에 대한 퍼블릭 리포지토리
  • GitHub Team를 사용하도록 설정된 GitHub Code Security의 조직 소유 리포지토리

이 기사에서

          사용자 지정 자동 심사 규칙 정보

경고 메타데이터를 기반으로 직접 Dependabot 자동 심사 규칙 만들 수 있습니다. 경고를 무기한 해제할지, 패치가 제공될 때까지 경고를 다시 알림할지 선택할 수 있으며, 특정 Dependabot alerts에 대해 끌어오기 요청을 열도록 지정할 수 있습니다. 경고 알림이 전송되기 전에 규칙이 적용되므로 위험 수준이 낮은 경고를 자동으로 해제하는 사용자 지정 규칙을 만들면 향후 알림 노이즈가 줄어듭니다.

만든 규칙은 향후 경고와 현재 경고 모두에 적용되므로 경고를 대량으로 관리하는 데 사용할 자동 심사 규칙 수도 있습니다.

리포지토리 관리자는 자신의 리포지토리에 대해 사용자 지정 자동 심사 규칙를 생성할 수 있습니다. 프라이빗 또는 내부 리포지토리의 경우 GitHub Code Security이 필요합니다.

조직 소유자 및 보안 관리자는 조직 수준에서 사용자 지정 자동 심사 규칙을(를) 설정한 이후, 조직의 모든 퍼블릭 및 프라이빗 리포지토리에서 규칙을 강제할지 또는 활성화할지를 선택할 수 있습니다.

  • 적용: 조직 수준의 규칙이 적용된 경우, 리포지토리 관리자는 해당 규칙을 편집하거나 비활성화 또는 삭제할 수 없습니다.
  • 사용: 조직 수준 규칙이 “사용”으로 설정된 경우, 리포지토리 관리자는 해당 리포지토리에 해당 규칙이 적용되지 않도록 설정할 수 있습니다.

참고

조직 수준 규칙과 리포지토리 수준 규칙의 동작이 충돌할 경우, 조직 수준에서 설정한 규칙이 우선적으로 적용됩니다. 해제 규칙은 항상 끌어오기 요청을 트리거하는 규칙보다 먼저 작동합니다.

다음 메타데이터를 활용하여 경고 대상 규칙을 생성할 수 있습니다.

  • CVE ID (공개된 소프트웨어 취약점에 대한 고유 식별자)

  • CWE

  • 종속성 범위(devDependency 또는 runtime)

  • 에코시스템

  • GHSA ID

  • 매니페스트 경로(리포지토리 수준 규칙에만 해당)

  • 패키지 이름

  • 패치 사용 가능성

  • 심각도

  • EPSS 점수

          사용자 지정 자동 심사 규칙 및 Dependabot security updates가 어떻게 상호 작용하는지 이해하기

참고

Dependabot는 Dependabot alerts를 해결하기 위한 풀 리퀘스트만 생성하며, Dependabot malware alerts에는 적용되지 않습니다.

열려는 끌어오기 요청에 대해 사용자 지정 자동 심사 규칙 항목을 조정하기 위해 Dependabot alerts를 선택할 수 Dependabot 있습니다. 그러나 "끌어오기 요청 열기" 규칙을 적용하려면 규칙이 적용되어야 하는 Dependabot security updates 리포지토리(들) 에 대해 비활성화되어 있는지 확인해야 합니다.

리포지토리에서 Dependabot security updates가 사용 설정되면, Dependabot는 사용 가능한 패치가 있는 모든 열린Dependabot 경고를 해결하기 위해 자동으로 풀 요청을 엽니다. 규칙을 사용하여 이 동작을 사용자 지정하려면 사용하지 않도록 설정 Dependabot security updates 해야 합니다.

리포지토리를 사용하거나 사용하지 않도록 설정하는 Dependabot security updates 방법에 대한 자세한 내용은 Dependabot 보안 업데이트 구성을 참조하세요.

리포지토리에 추가 사용자 지정 자동 심사 규칙

참고

          공개 미리 보기 동안 저장소에 대해 최대 10개의 사용자 지정 자동 심사 규칙를 만들 수 있습니다.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "Security" 섹션에서 Advanced Security 를 클릭합니다.

  4. "Dependabot" 섹션에서 "Dependabot 규칙" 오른쪽에 있는 을 클릭합니다.

  5. 새 규칙을 클릭합니다.

  6. "규칙 이름"에서 이 규칙이 수행할 작업을 설명하세요.

  7. “상태” 드롭다운 메뉴를 사용하여 리포지토리에 대해 규칙을 활성화할지 또는 비활성화할지 선택합니다.

  8. "대상 경고"에서 경고를 필터링하는 데 사용할 메타데이터를 선택하세요.

  9. “규칙”에서 메타데이터와 일치하는 경고가 발생했을 때 수행할 작업을 선택해 주세요.

    • 경고 해제를 선택하면 메타데이터와 일치하는 경고가 자동으로 해제됩니다. 무기한으로 또는 패치를 사용할 수 있을 때까지 경고를 해제하도록 선택할 수 있습니다.

    • 대상 메타데이터와 일치하는 경고를 해결하기 위해 변경 내용을 제안하려면 ****Dependabot를 선택하여 이 경고를 해결합니다. 경고를 무기한 해제하는 옵션을 이미 선택했거나 리포지토리 설정에서 사용하도록 설정된 경우 Dependabot security updates 이 옵션을 사용할 수 없습니다.

      참고

      Dependabot는 Dependabot alerts를 해결하기 위한 풀 리퀘스트만 생성하며, Dependabot malware alerts에는 적용되지 않습니다.

  10. 규칙 만들기를 클릭합니다.

조직에 사용자 지정 자동 심사 규칙 추가하기

조직의 모든 적격 리포지토리에 사용자 지정 자동 심사 규칙를 추가할 수 있습니다. 자세한 내용은 조직에 대한 글로벌 보안 설정 구성을(를) 참조하세요.

리포지토리의 사용자 지정 자동 심사 규칙을(를) 편집 또는 삭제

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "Security" 섹션에서 Advanced Security 를 클릭합니다.

  4. "Dependabot" 섹션에서 "Dependabot 규칙" 오른쪽에 있는 을 클릭합니다.

  5. "리포지토리 규칙"에서 편집하거나 삭제하려는 규칙의 오른쪽에서 을 클릭합니다 .

  6. 규칙을 편집하려면 해당 필드를 변경한 다음 규칙 저장을 클릭합니다.

  7. 규칙을 삭제하려면 "위험 영역"에서 규칙 삭제를 클릭합니다.

  8. "이 규칙을 삭제하시겠습니까?" 대화 상자에서 정보를 검토한 다음 규칙 삭제를 클릭합니다.

조직의 사용자 지정 자동 심사 규칙 편집 또는 삭제

조직의 모든 적격 리포지토리에 대해 편집하거나 삭제 사용자 지정 자동 심사 규칙 할 수 있습니다. 자세한 내용은 조직에 대한 글로벌 보안 설정 구성을(를) 참조하세요.