Dependabot 경고 정보

Dependabot alerts를 활용하면 보안 위협이 되기 전에 취약한 종속성을 미리 발견하고 해결할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Dependabot alerts는 조직 소유 및 사용자 소유 저장소에서 지원됩니다.

이 기사에서

소프트웨어는 종종 다양한 원본의 패키지에 의존하여 무의식적으로 보안 취약성을 발생시키는 종속성 관계를 만듭니다. 코드가 알려진 보안 취약성이 있는 패키지에 의존하는 경우 시스템을 악용하려는 공격자의 대상이 되어 코드, 데이터, 고객 또는 기여자에게 액세스할 수 있습니다. Dependabot alerts를 통해 취약한 종속성을 파악하고 보안 버전으로 업그레이드하여 프로젝트를 보호할 수 있습니다.

Dependabot이(가) 경고를 보내는 경우

Dependabot 리포지토리의 기본 분기를 스캔하여 다음과 같은 경우에 경고를 보냅니다.

에 새 취약성이 추가됩니다.

  • GitHub은 GitHub.com의 새로운 권고 데이터를 매시간 동기화합니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 탐색을(를) 참조하세요.
  • 종속성 그래프가 변경됩니다(예: 패키지 또는 버전을 업데이트하는 커밋을 푸시하는 경우).

지원되는 에코시스템은 종속성 그래프에서 지원되는 패키지 에코시스템을 참조하세요.

경고 이해

GitHub가 취약한 종속성을 탐지하면, Dependabot 경고가 리포지토리의 보안 탭 및 종속성 그래프에 나타납니다. 각 경고에는 다음이 포함됩니다.

  • 영향을 받는 파일에 대한 링크
  • 취약성 및 심각도에 대한 세부 정보
  • 고정 버전에 대한 정보(사용 가능한 경우)

경고 보기 및 관리에 대한 자세한 내용은 Dependabot 경고 보기 및 업데이트을 참조하세요.

알림 활성화

리포지토리 관리자와 조직 소유자는 Dependabot alerts를 통해 해당 리포지토리에 대한 보안 알림을 활성화할 수 있습니다. 사용하도록 설정하면 GitHub 즉시 종속성 그래프를 생성하고 식별되는 취약한 종속성에 대한 경고를 만듭니다.

이 기능을 사용하려면 먼저 엔터프라이즈 소유자가 GitHub Enterprise Server 인스턴스에 대한 Dependabot alerts를 활성화해야 합니다. 자세한 내용은 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.

          [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)을(를) 참조하세요.

알림에 대한 경보

기본적으로 GitHub은(는) 두 사람 모두에게 새 경고에 대한 전자 메일 알림을 보냅니다.

  • 리포지토리에 대한 쓰기, 유지 관리 또는 관리자 권한 사용
  • 리포지토리를 감시하고 보안 경고 또는 리포지토리의 모든 활동에 대한 알림을 사용하도록 설정했습니다.

알림 기본 설정과 관계없이 Dependabot을 처음 활성화하면 GitHub가 리포지토리에 있는 모든 취약한 종속성에 대한 알림을 보내지 않습니다. 대신 알림 기본 설정에서 허용하는 경우 Dependabot을 활성화한 후 식별된 새로운 취약 종속성에 대한 알림을 받게 됩니다.

너무 많은 알림을 받는 것이 우려되는 경우 Dependabot 자동 심사 규칙를 활용하여 위험 수준이 낮은 경고를 자동으로 해제하는 것이 좋습니다. 규칙은 경고 알림이 전송되기 전에 적용되므로 생성 시 자동으로 해제되는 경고는 알림을 보내지 않습니다. Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.

또는 주간 메일 요약을 구독할 수도 있으며 Dependabot alerts를 활성화한 상태에서 알림을 완전히 끌 수도 있습니다.

제한점

Dependabot alerts에는 일부 제한 사항이 있습니다.

  • 경고는 모든 보안 문제를 감지할 수 없습니다. 정확한 검색을 위해 항상 종속성을 검토하고 매니페스트 및 잠금 파일을 최신 상태로 유지합니다.
  • GitHub Advisory Database에 새로운 취약성이 표시되고 경고가 트리거되는 데 시간이 걸릴 수 있습니다.
  • GitHub에서 검토한 권고만 경고를 트리거합니다.
  • Dependabot은 보관 처리된 리포지토리는 스캔 대상에서 제외합니다.
  • Dependabot은(는) 맬웨어에 대한 경고를 생성하지 않습니다.
  • GitHub Actions의 경우 Dependabot alerts는 의미 체계 버전 관리를 사용하는 작업에 대해서만 생성되며, SHA 버전 관리를 사용하는 경우에는 생성되지 않습니다.

추가 읽기

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)