Dependabot 자동 심사 규칙 정보
Dependabot 자동 심사 규칙을 사용하면 Dependabot에게 Dependabot alerts을(를) 자동으로 심사하도록 지시할 수 있습니다. 자동 심사 규칙을 사용하여 특정 경고를 자동으로 해제 또는 다시 알림하거나 Dependabot에서 끌어오기 요청을 열 경고를 지정할 수 있습니다.
Dependabot 자동 심사 규칙의 두 가지 유형이 있습니다.
- GitHub 사전 설정
- 사용자 지정 자동 심사 규칙
GitHub 사전 설정 정보
Note
Dependabot alerts의 GitHub 사전 설정은(는) 모든 리포지토리에서 사용할 수 있는 규칙입니다.
GitHub 사전 설정은(는) GitHub이(가) 큐레이팅한 규칙입니다. Dismiss low impact issues for development-scoped dependencies은(는) GitHub 사전 설정 규칙입니다. 이 규칙은 개발에 사용된 npm 종속성에서 발견된 특정 유형의 약점을 자동으로 해제합니다. 이 규칙은 가양성을 줄이고 경고 피로를 줄이기 위해 수정되었습니다. GitHub 사전 설정은(는) 수정할 수 없습니다. GitHub 사전 설정에 대한 자세한 정보는 GitHub 사전 설정 규칙을 사용해 Depenabout 경고 우선 순위 지정을(를) 참조하세요.
규칙은 공용 리포지토리에 대해 기본적으로 사용하도록 설정되며 프라이빗 리포지토리에 대해 옵트인할 수 있습니다. 리포지토리의 설정 탭을 통해 프라이빗 리포지토리에 대한 규칙을 사용하도록 설정할 수 있습니다. 자세한 내용은 프라이빗 리포지토리에 대한 Dismiss low impact issues for development-scoped dependencies 규칙 활성화를 참조하세요.
사용자 지정 자동 심사 규칙
정보
Note
조직 소유 리포지토리의 경우 GitHub Advanced Security를 사용하도록 설정한 경우 Dependabot alerts의 사용자 지정 자동 심사 규칙를 이용할 수 있습니다.
사용자 지정 자동 심사 규칙을(를) 사용하면 심각도, 패키지 이름, CWE 등과 같은 대상 메타데이터를 기반으로 경고를 자동으로 제거하거나 다시 여는 규칙을 만들 수 있습니다. Dependabot에 대해 pull request를 열도록 지정할 수도 있습니다. 자세한 내용은 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.
리포지토리에 대한 라이선스가 있는 조직에 속한 경우여야 합니다. 자세한 내용은 리포지토리에 사용자 지정 자동 심사 규칙 추가를 참조하세요.
경고 자동 해제 관련 정보
경고 자동 해제 규칙을 사용해 경고를 자동 해제하면 유용하지만, 자동 해제된 경로를 다시 열어 어느 경고가 자동 해제되었는지 필터링을 통해 확인할 수도 있습니다. 자세한 내용은 Dependabot 자동 심사 규칙에 의해 자동으로 해제된 경고 관리을(를) 참조하세요.
또한 자동 해제된 경고를 보고 및 검토에 계속 사용할 수 있으며, 경고 메타데이터가 변경되면 자동으로 다시 열 수 있습니다. 예를 들면 다음과 같습니다.
- 종속성의 범위를 개발에서 프로덕션으로 변경하는 경우
- GitHub이(가) 관련 권고에 대한 특정 메타데이터를 수정하는 경우
자동 해제된 경고는 resolution:auto-dismiss 종결 이유로 정의됩니다. 자동 해제 활동은 경고 웹후크, REST 및 GraphQL API, 감사 로그에 포함됩니다. 자세한 내용은 Dependabot alerts에 대한 REST API 엔드포인트 및 조직의 감사 로그 검토의 "repository_vulnerability_alert" 섹션을 참조하세요.