Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정

사용자 지정 자동 심사 규칙을 생성하여, 알림을 해제하거나 다시 알림을 받을 경고를 설정하고 Dependabot에서 끌어오기 요청을 생성할 경고를 직접 제어할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

  • 조직 소유자
  • 보안 관리자
  • 관리자 액세스 권한이 있는 사용자(리포지토리에 대한 자동 심사 규칙을 활성화하고, 비활성화하고, 볼 수 있으며 사용자 지정 자동 심사 규칙을 만들 수 있습니다.)

모든 리포지토리 유형에 GitHub 사전 설정 를 사용할 수 있습니다.

사용자 지정 자동 심사 규칙 는 다음 리포지토리 유형에 사용할 수 있습니다.

  • GitHub.com에 대한 퍼블릭 리포지토리
  • GitHub Team가 활성화된 상태의GitHub Enterprise Cloud 또는 GitHub Code Security의 조직 소유 리포지토리

이 기사에서

사용자 지정 자동 심사 규칙 에 대해

경고 메타데이터를 기반으로 자체 Dependabot 자동 심사 규칙를 생성할 수 있습니다. 경고를 무기한 자동 해제하거나 패치가 제공될 때까지 일시 중지하도록 선택할 수 있으며, Dependabot alerts가 풀 리퀘스트를 열도록 할 Dependabot를 지정할 수도 있습니다. 경고 알림이 전송되기 전에 규칙이 적용되므로 위험 수준이 낮은 경고를 자동으로 해제하는 사용자 지정 규칙을 만들면 향후 알림 노이즈가 줄어듭니다.

만든 규칙은 향후 경고와 현재 경고 모두에 적용되므로 자동 심사 규칙를 사용하여 경고를 대량으로 관리할 수도 있습니다.

리포지토리 관리자는 해당 리포지토리에 대해 사용자 지정 자동 심사 규칙를 생성할 수 있습니다. 프라이빗 또는 내부 리포지토리의 경우 GitHub Code Security가 필요합니다.

조직 소유자와 보안 관리자는 조직 수준에서 사용자 지정 자동 심사 규칙를 설정한 다음, 조직의 모든 퍼블릭 및 프라이빗 리포지토리에서 해당 규칙을 적용하거나 사용할지 선택할 수 있습니다.

  • 적용: 조직 수준의 규칙이 적용된 경우, 리포지토리 관리자는 해당 규칙을 편집하거나 비활성화 또는 삭제할 수 없습니다.
  • 사용: 조직 수준 규칙이 “사용”으로 설정된 경우, 리포지토리 관리자는 해당 리포지토리에 해당 규칙이 적용되지 않도록 설정할 수 있습니다.

참고

조직 수준 규칙과 리포지토리 수준 규칙의 동작이 충돌할 경우, 조직 수준에서 설정한 규칙이 우선적으로 적용됩니다. 해제 규칙은 항상 Dependabot 풀 리퀘스트를 트리거하는 규칙보다 먼저 작동합니다.

다음 메타데이터를 활용하여 경고 대상 규칙을 생성할 수 있습니다.

  • CVE ID (공개된 소프트웨어 취약점에 대한 고유 식별자)

  • CWE

  • 종속성 범위(devDependency 또는 runtime)

  • 에코시스템

  • GHSA ID

  • 매니페스트 경로(리포지토리 수준 규칙에만 해당)

  • 패키지 이름

  • 패치 사용 가능성

  • 심각도

  • EPSS 점수

사용자 지정 사용자 지정 자동 심사 규칙와 Dependabot security updates가 상호 작용하는 방식 이해하기

참고

Dependabot는 Dependabot alerts를 해결하기 위한 풀 리퀘스트만 생성하며, Dependabot malware alerts에는 적용되지 않습니다.

사용자 지정 자동 심사 규칙를 사용하여 Dependabot alerts가 풀 리퀘스트를 열도록 할 Dependabot를 맞춤 설정할 수 있습니다. 하지만 “끌어오기 요청 열기” 규칙을 적용하려면, 해당 규칙이 적용될 리포지토리에서 Dependabot security updates 기능이 비활성화 되어 있는지 확인해야 합니다.

Dependabot security updates를 리포지토리에 활성화하면, Dependabot이 사용 가능한 패치가 있는 모든 Dependabot 보안 경고를 해결하기 위해 자동으로 끌어오기 요청을 생성합니다. 이 동작을 규칙을 사용하여 사용자 지정하려면 Dependabot security updates을(를) 비활성화 상태로 두어야 합니다.

리포지토리의 Dependabot security updates 활성화 또는 비활성화 방법에 대한 자세한 내용은 Dependabot 보안 업데이트 구성을 참조하세요.

리포지토리에 사용자 지정 자동 심사 규칙 추가

참고

공개 미리 보기 기간 동안에는 리포지토리별로 최대 10개의 사용자 지정 자동 심사 규칙을 생성할 수 있습니다.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "Security" 섹션에서 Advanced Security 를 클릭합니다.

  4. "Dependabot" 섹션에서 "Dependabot 규칙" 오른쪽에 있는 을 클릭합니다.

  5. 새 규칙을 클릭합니다.

  6. "규칙 이름"에서 이 규칙이 수행할 작업을 설명하세요.

  7. “상태” 드롭다운 메뉴를 사용하여 리포지토리에 대해 규칙을 활성화할지 또는 비활성화할지 선택합니다.

  8. "대상 경고"에서 경고를 필터링하는 데 사용할 메타데이터를 선택하세요.

  9. “규칙”에서 메타데이터와 일치하는 경고가 발생했을 때 수행할 작업을 선택해 주세요.

    • 경고 해제를 선택하면 메타데이터와 일치하는 경고가 자동으로 해제됩니다. 무기한으로 또는 패치를 사용할 수 있을 때까지 경고를 해제하도록 선택할 수 있습니다.

    • Dependabot에서 대상 메타데이터와 일치하는 경고를 해결하기 위한 변경 내용을 제안하도록 하려면, 끌어오기 요청을 열어 이 경고 해결을 선택합니다. 이 옵션은 경고를 무기한 해제하도록 이미 선택했거나, 리포지토리 설정에서 Dependabot security updates가 활성화된 경우에는 사용할 수 없습니다.

      참고

      Dependabot는 Dependabot alerts를 해결하기 위한 풀 리퀘스트만 생성하며, Dependabot malware alerts에는 적용되지 않습니다.

  10. 규칙 만들기를 클릭합니다.

조직에 사용자 지정 자동 심사 규칙 추가

조직의 모든 적격 리포지토리에 대해 사용자 지정 자동 심사 규칙을(를) 추가할 수 있습니다. 자세한 내용은 조직에 대한 글로벌 보안 설정 구성을(를) 참조하세요.

리포지토리에 대한 사용자 지정 자동 심사 규칙 수정 또는 삭제

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "Security" 섹션에서 Advanced Security 를 클릭합니다.

  4. "Dependabot" 섹션에서 "Dependabot 규칙" 오른쪽에 있는 을 클릭합니다.

  5. “리포지토리 규칙”에서 편집하거나 삭제하려는 규칙 오른쪽에 있는 을 클릭합니다.

  6. 규칙을 편집하려면 해당 필드를 변경한 다음 규칙 저장을 클릭합니다.

  7. 규칙을 삭제하려면 "위험 영역"에서 규칙 삭제를 클릭합니다.

  8. "이 규칙을 삭제하시겠습니까?" 대화 상자에서 정보를 검토한 다음 규칙 삭제를 클릭합니다.

조직에 대한 사용자 지정 자동 심사 규칙 수정 또는 삭제

조직의 모든 적격 리포지토리에 대해 사용자 지정 자동 심사 규칙을(를) 수정 또는 삭제할 수 있습니다. 자세한 내용은 조직에 대한 글로벌 보안 설정 구성을(를) 참조하세요.