Dependabot 자동 분류 규칙에 대한 설명

Dependabot가 보안 경고를 처리하는 방식을 제어합니다. 여기에는 필터링, 무시, 일시 중단, 또는 보안 업데이트 트리거가 포함됩니다.

누가 이 기능을 사용할 수 있나요?

모든 리포지토리 유형에 GitHub 사전 설정 를 사용할 수 있습니다.

사용자 지정 자동 심사 규칙 는 다음 리포지토리 유형에 사용할 수 있습니다.

이 기사에서

Dependabot 자동 심사 규칙에 대한 설명

Dependabot 자동 심사 규칙를 사용하면 Dependabot에 Dependabot alerts를 자동으로 분류하도록 지시할 수 있습니다. 자동 심사 규칙를 사용하여 특정 경고를 자동으로 해제하거나 일시 중지할 수 있으며, Dependabot가 풀 리퀘스트를 열도록 할 경고를 지정할 수도 있습니다. 규칙은 경고 알림이 전송되기 전에 적용되므로, 위험도가 낮은 경고를 자동으로 해제하는 규칙을 활성화하면 이후에 일치하는 경고로 인한 알림 소음을 방지할 수 있습니다.

Dependabot 자동 심사 규칙에는 두 가지 유형이 있습니다.

  • GitHub 사전 설정
  • 사용자 지정 자동 심사 규칙

GitHub 사전 설정에 대한 설명

참고

Dependabot alerts의 GitHub 사전 설정은(는) 모든 리포지토리에서 사용할 수 있는 규칙입니다.

GitHub 사전 설정는 GitHub에서 선별한 규칙입니다.

Dismiss low impact issues for development-scoped dependencies 규칙은 GitHub 사전 설정으로, 개발에 사용된 npm 종속성에서 발견된 특정 유형의 약점을 자동 해제합니다. 이 경고는 대부분의 개발자에게 오탐으로 느껴질 수 있는 경우를 다룹니다. 해당 취약점은:

  • 개발자(비프로덕션이나 런타임) 환경에서는 악용될 가능성이 낮습니다.
  • 리소스 관리, 프로그래밍 및 논리 또는 정보 공개 문제와 관련될 수 있습니다.
  • 최악의 경우, 느린 빌드 또는 장기 실행 테스트와 같은 제한된 효과가 발생합니다.
  • 프로덕션의 이슈를 나타내지 않습니다.

이 규칙은 공개 리포지토리에서는 기본적으로 활성화되며, 비공개 리포지토리에서는 선택하여 활성화할 수 있습니다. 지침은 프라이빗 리포지토리의 규칙을 Dismiss low impact issues for development-scoped dependencies 사용하도록 설정하는 방법을 참조하세요.

규칙에서 사용하는 조건에 대한 자세한 내용은 GitHub의 미리 설정된 Dependabot 규칙에서 사용하는 CWE을 참조하세요.

사용자 지정 자동 심사 규칙

에 대해

참고

조직 소유 리포지토리의 경우 GitHub Advanced Security를 사용하도록 설정한 경우 Dependabot alerts의 사용자 지정 자동 심사 규칙를 이용할 수 있습니다.

사용자 지정 자동 심사 규칙를 사용하면 심각도, 패키지 이름, CWE 등과 같은 대상 메타데이터를 기준으로 경고를 자동으로 해제하거나 다시 열도록 사용자 지정 규칙을 생성할 수 있습니다. 또한 Dependabot이(가) 풀 리퀘스트를 열도록 할 경고를 지정할 수 있습니다. 자세한 내용은 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.

GitHub Advanced Security 라이선스를 보유한 조직에 리포지토리가 속해 있는 경우, 리포지토리의 설정 탭에서 사용자 지정 규칙을 생성할 수 있습니다. 자세한 내용은 리포지토리에 사용자 지정 자동 분류 규칙을 추가하기를 참조하세요.

경고 자동 해제에 대한 설명

경고를 자동으로 해제하기 위해 자동 분류 규칙을 사용하는 방법이 유용할 수 있지만, 자동으로 해제된 경고는 다시 열 수 있으며 어떤 경고가 자동으로 해제되었는지 필터링하여 확인할 수 있습니다. 자세한 내용은 Dependabot 자동 심사 규칙에 의해 자동으로 해제된 경고 관리을(를) 참조하세요.

또한 자동으로 해제된 경고는 보고 및 검토 용도로 계속 사용할 수 있으며, 예를 들어 다음과 같이 경고 메타데이터가 변경되면 자동으로 다시 열릴 수 있습니다.

  • 개발 환경에서 프로덕션 환경으로 종속성의 범위를 변경하는 경우
  • 관련 보안 권고에 대해 GitHub에서 특정 메타데이터를 수정하는 경우

자동으로 해제된 경고는 resolution:auto-dismiss 종료 사유로 정의됩니다. 자동 해제 활동은 경고 웹후크, REST 및 GraphQL API, 그리고 감사 로그에 포함됩니다. 자세한 내용은 Dependabot alerts에 대한 REST API 엔드포인트repository_vulnerability_alert의 "" 섹션을 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)