Dependabot 자동 분류 규칙에 대한 설명

Dependabot가 보안 경고를 처리하는 방식을 제어합니다. 여기에는 필터링, 무시, 일시 중단, 또는 보안 업데이트 트리거가 포함됩니다.

누가 이 기능을 사용할 수 있나요?

모든 리포지토리 유형에 GitHub 사전 설정 를 사용할 수 있습니다.

사용자 지정 자동 심사 규칙 는 다음 리포지토리 유형에 사용할 수 있습니다.

  • GitHub.com에 대한 퍼블릭 리포지토리
  • GitHub Code Security가 활성화된 상태의GitHub Team 또는 GitHub Enterprise Cloud의 조직 소유 리포지토리

이 기사에서

Dependabot 자동 심사 규칙에 대한 설명

Dependabot 자동 심사 규칙를 사용하면 Dependabot에 Dependabot alerts를 자동으로 분류하도록 지시할 수 있습니다. 자동 심사 규칙를 사용하여 특정 경고를 자동으로 해제하거나 일시 중지할 수 있으며, Dependabot가 풀 리퀘스트를 열도록 할 경고를 지정할 수도 있습니다. 규칙은 경고 알림이 전송되기 전에 적용되므로, 위험도가 낮은 경고를 자동으로 해제하는 규칙을 활성화하면 이후에 일치하는 경고로 인한 알림 소음을 방지할 수 있습니다.

Dependabot 자동 심사 규칙에는 두 가지 유형이 있습니다.

  • GitHub 사전 설정
  • 사용자 지정 자동 심사 규칙

GitHub 사전 설정에 대한 설명

참고

Dependabot alerts의 GitHub 사전 설정은(는) 모든 리포지토리에서 사용할 수 있는 규칙입니다.

GitHub 사전 설정는 GitHub에서 선별한 규칙입니다.

Dismiss low impact issues for development-scoped dependencies 규칙은 GitHub 사전 설정으로, 개발에 사용된 npm 종속성에서 발견된 특정 유형의 약점을 자동 해제합니다. 이 경고는 대부분의 개발자에게 오탐으로 느껴질 수 있는 경우를 다룹니다. 해당 취약점은:

  • 개발자(비프로덕션이나 런타임) 환경에서는 악용될 가능성이 낮습니다.
  • 리소스 관리, 프로그래밍 및 논리 또는 정보 공개 문제와 관련될 수 있습니다.
  • 최악의 경우, 느린 빌드 또는 장기 실행 테스트와 같은 제한된 효과가 발생합니다.
  • 프로덕션의 이슈를 나타내지 않습니다.

이 규칙은 공개 리포지토리에서는 기본적으로 활성화되며, 비공개 리포지토리에서는 선택하여 활성화할 수 있습니다. 지침은 프라이빗 리포지토리의 규칙을 Dismiss low impact issues for development-scoped dependencies 사용하도록 설정하는 방법을 참조하세요.

규칙에서 사용하는 조건에 대한 자세한 내용은 GitHub의 미리 설정된 Dependabot 규칙에서 사용하는 CWE을 참조하세요.

사용자 지정 자동 심사 규칙

에 대해

참고

Dependabot alerts용 사용자 지정 자동 심사 규칙는 GitHub Code Security가 활성화된 상태로 퍼블릭 리포지토리와 GitHub Team 또는 GitHub Enterprise에서 조직 소유의 모든 리포지토리에서 사용할 수 있습니다.

사용자 지정 자동 심사 규칙를 사용하면 심각도, 패키지 이름, CWE 등과 같은 대상 메타데이터를 기준으로 경고를 자동으로 해제하거나 다시 열도록 사용자 지정 규칙을 생성할 수 있습니다. 또한 Dependabot이(가) 풀 리퀘스트를 열도록 할 경고를 지정할 수 있습니다. 자세한 내용은 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.

GitHub Code Security or GitHub Advanced Security 라이선스를 보유한 조직에 리포지토리가 속해 있는 경우, 리포지토리의 설정 탭에서 사용자 지정 규칙을 생성할 수 있습니다. 자세한 내용은 리포지토리에 사용자 지정 자동 분류 규칙을 추가하기를 참조하세요.

경고 자동 해제에 대한 설명

경고를 자동으로 해제하기 위해 자동 분류 규칙을 사용하는 방법이 유용할 수 있지만, 자동으로 해제된 경고는 다시 열 수 있으며 어떤 경고가 자동으로 해제되었는지 필터링하여 확인할 수 있습니다. 자세한 내용은 Dependabot 자동 심사 규칙에 의해 자동으로 해제된 경고 관리을(를) 참조하세요.

또한 자동으로 해제된 경고는 보고 및 검토 용도로 계속 사용할 수 있으며, 예를 들어 다음과 같이 경고 메타데이터가 변경되면 자동으로 다시 열릴 수 있습니다.

  • 개발 환경에서 프로덕션 환경으로 종속성의 범위를 변경하는 경우
  • 관련 보안 권고에 대해 GitHub에서 특정 메타데이터를 수정하는 경우

자동으로 해제된 경고는 resolution:auto-dismiss 종료 사유로 정의됩니다. 자동 해제 활동은 경고 웹후크, REST 및 GraphQL API, 그리고 감사 로그에 포함됩니다. 자세한 내용은 Dependabot alerts에 대한 REST API 엔드포인트repository_vulnerability_alert의 "" 섹션을 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)