리포지토리에 대한 자동 종속성 제출을 구성

리포지토리에 전이적 종속성 데이터를 제출하기 위해 자동 종속성 제출을 사용할 수 있습니다. 이를 통해 종속성 그래프 사용하여 이 전이적 종속성을 분석할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

리포지토리 소유자, 조직 소유자, 보안 관리자 및 관리자 역할이 있는 사용자

이 기사에서

필수 조건

자동 종속성 제출을 사용하도록 설정하려면 리포지토리에 종속성 그래프를 사용하도록 설정해야 합니다.

또한 자동 종속성 제출을 사용하기 위해 리포지토리에 GitHub Actions를 사용하도록 설정해야 합니다. 자세한 내용은 리포지토리에 대한 GitHub Actions 설정 관리을(를) 참조하세요.

자동 종속성 제출 활성화

리포지토리 관리자는 이 절차에 설명된 단계에 따라 리포지토리에 대한 자동 종속성 제출을 사용하거나 사용하지 않도록 설정할 수 있습니다.

조직 소유자는 보안 구성을 사용하여 다중 리포지토리에 대해 자동 종속성 제출을 사용하도록 설정할 수 있습니다. 자세한 내용은 사용자 정의 보안 구성 생성하기을(를) 참조하세요.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "Security" 섹션에서 Advanced Security 를 클릭합니다.

  4. "종속성 그래프"에서 "자동 종속성 제출" 옆의 드롭다운 메뉴를 클릭한 다음 사용 설정을 선택합니다.

리포지토리에 대한 자동 종속성 제출을 사용하도록 설정하면 GitHub는 다음을 수행합니다.

  • 리포지토리에 대한 푸시를 살핍니다.
  • 리포지토리의 모든 매니페스트에 대해 패키지 에코시스템과 관련된 종속성 그래프 빌드 작업을 실행합니다.
  • 결과에 따라 자동 종속성 제출을 실행합니다.

자동 워크플로 실행에 대한 세부 정보를 보려면 리포지토리의 작업 탭을 확인합니다.

참고

자동 종속성 제출을 활성화한 후 자동으로 작업 실행을 트리거합니다. 실행을 설정하면 기본 분기에 대한 커밋이 매니페스트를 업데이트할 때마다 실행됩니다.

자체 호스팅 실행기를 사용한 프라이빗 레지스트리 액세스

자동 종속성 제출 작업을 실행하기 위해 GitHub Actions 인프라를 사용하는 대신 자체 호스팅 실행기를 구성할 수 있습니다. 이는 프라이빗 Maven 레지스트리에 액세스하는 데 필요합니다. 자체 호스팅 실행기는 Linux나 macOS에서 실행 중이어야 합니다. .NET 및 Python 자동 제출의 경우 최신 구성 요소 검색 릴리스를 다운로드하려면 공용 인터넷에 액세스할 수 있어야 합니다.

  1. 하나 이상의 자체 호스팅 실행기를 리포지토리 또는 조직 수준에서 프로비저닝합니다. 자세한 내용은 자체 호스팅 실행기자체 호스트형 실행기 추가을(를) 참조하세요.
  2. 자동 종속성 제출을 사용할 각 실행기에 dependency-submission 레이블을 할당합니다. 자세한 내용은 자체 호스트형 실행기로 레이블 사용을(를) 참조하세요.
  3. 사이드바의 "Security" 섹션에서 Advanced Security 를 클릭합니다.
  4. "종속성 그래프"에서 "자동 종속성 제출" 옆의 드롭다운 메뉴를 클릭한 다음 레이블 실행기 사용 설정을 선택하세요.

사용 설정되면 다음을 수행하지 않는 한 자체 호스팅 실행기에서 자동 종속성 제출 작업이 실행됩니다.

  • 자체 호스팅 실행기는 사용할 수 없습니다.
  •         `dependency-submission` 레이블로 태그된 실행기 그룹이 없습니다.

참고

프라이빗 Maven 레지스트리를 갖춘 자체 호스팅 러너를 사용하는 Maven 또는 Gradle 프로젝트의 경우, Maven 서버 설정 파일을 수정해 종속성 제출 워크플로가 레지스트리에 연결합니다. Maven 서버 설정 파일에 대한 자세한 내용은 Maven 설명서의 보안 및 배포 설정을 참조하세요.

네트워크 허용 목록 URL, 더 큰 실행기 구성, 문제 해결 세부 정보 및 패키지 에코시스템 관련 정보는 자동 종속성을 제출을 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/reference/supply-chain-security/automatic-dependency-submission)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api)