Dependabot 보안 업데이트 정보

Dependabot은 보안 업데이트를 사용하여 끌어오기 요청을 발생시켜 취약한 종속성을 해결할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Dependabot security updates는 다음 리포지토리에 사용할 수 있습니다.

  • GitHub Enterprise Server의 모든 리포지토리

이 기사에서

참고

사이트 관리자가 먼저 GitHub Enterprise Server 인스턴스의 Dependabot updates를 설정해야 이 기능을 사용할 수 있습니다. 자세한 내용은 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.

엔터프라이즈 소유자가 엔터프라이즈 수준에서 정책을 설정한 경우 Dependabot updates를 사용하거나 사용하지 않도록 설정하지 못할 수 있습니다. 자세한 내용은 엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을(를) 참조하세요.

Dependabot security updates 정보

Dependabot security updates를 사용하면 리포지토리의 취약한 종속성을 더욱 쉽게 해결할 수 있습니다.

Dependabot security updates를 활성화하면 리포지토리의 종속성 그래프에서 Dependabot 경고가 취약한 종속성에 대해 발생할 때 Dependabot가 이를 자동으로 수정하려고 시도합니다. 자세한 내용은 Dependabot 경고 정보Dependabot 보안 업데이트 구성을(를) 참조하세요.

리포지토리에 dependabot.yml 구성 파일을 추가하여 Dependabot의 동작을 사용자 지정할 수 있습니다. 여기에는 업데이트 일정, 끌어오기 요청 설정 및 모니터링할 종속성이 포함됩니다. 자세한 내용은 dependabot.yml 파일 정보을(를) 참조하세요. 그런 다음, Dependabot이(가) 리포지토리에 사용된 종속성을 보호하는 방법을 알 수 있도록 이 파일의 옵션을 구성합니다.

데이터 재사용 가능항목.디펜더봇.디펜더봇-업데이트-지원-저장소-에코시스템 %}

참고

          `dependabot.yml` 파일에 지정된 설정과 Dependabot 보안 경고 간에는, Dependabot가 보안 업데이트를 위해 생성한 관련 끌어오기 요청이 병합되면 경고가 종료된다는 점을 제외하고는 상호작용이 없습니다.

Dependabot은(는) 커밋 서명이 리포지토리에 대한 요구 사항이 아닌 경우에도 기본적으로 자체 커밋에 서명합니다. 인증 커밋에 대한 자세한 내용은 커밋 서명 확인에 대한 안내을(를) 참조하세요.

참고

Dependabot security updates을(를) 리포지토리에 사용하도록 설정하면 Dependabot에서 자동으로 끌어오기 요청을 열어 사용 가능한 패치가 있는 열려 있는 모든 Dependabot 경고를 해결합니다. Dependabot에서 끌어오기 요청을 여는 경고를 사용자 지정하려면 Dependabot security updates을(를) 사용 안 함 상태로 두고 자동 심사 규칙을 만들어야 합니다. 자세한 내용은 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.

최근에 게시된 GitHub 보안 권고에 의해 GitHub은 공개된 취약점의 영향을 받는 리포지토리에 Dependabot alerts를 전송할 수 있습니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 탐색을(를) 참조하세요.

Dependabot은 리포지토리에 대한 종속성 그래프를 방해하지 않고 취약한 종속성을 고정 버전으로 업그레이드할 수 있는지 여부를 확인합니다. 그런 다음, Dependabot은 패치를 포함하는 최소 버전으로 종속성을 업데이트하기 위한 끌어오기 요청을 발생시키고 끌어오기 요청을 Dependabot 경고에 연결하거나 경고에 대한 오류를 보고합니다. 자세한 내용은 Dependabot 오류을(를) 참조하세요.

Dependabot security updates 기능은 종속성 그래프 및 Dependabot alerts를 사용하도록 설정한 리포지토리에 사용할 수 있습니다. 전체 종속성 그래프에서 식별된 모든 취약한 종속성에 대한 Dependabot 경고가 표시됩니다. 그러나 보안 업데이트는 매니페스트 또는 잠금 파일에 지정된 종속성에 대해서만 트리거됩니다. 자세한 내용은 종속성 그래프 정보을(를) 참조하세요.

참고

npm의 경우 Dependabot은 명시적으로 정의된 종속성을 안전한 버전으로 업데이트하기 위해 끌어오기 요청을 생성합니다. 이 과정에서 상위 종속성 또는 여러 상위 종속성을 업데이트해야 하거나, 상위 종속성에 더 이상 필요하지 않은 하위 종속성을 제거해야 하는 경우에도 이를 수행합니다. 다른 에코시스템의 경우 부모 종속성에 대한 업데이트가 필요하면 Dependabot에서 간접 또는 전이적 종속성을 업데이트할 수 없습니다. 자세한 내용은 Dependabot 오류을(를) 참조하세요.

관련 기능인 Dependabot version updates를 사용하도록 설정하여 Dependabot에서 오래된 종속성을 탐지할 때마다 매니페스트를 최신 버전의 종속성으로 업데이트하기 위한 끌어오기 요청을 발생하도록 할 수 있습니다. 자세한 내용은 Dependabot 버전 업데이트 정보을(를) 참조하세요.

Dependabot에서 끌어오기 요청이 발생하면 이러한 끌어오기 요청은 보안 또는 버전 업데이트를 위한 것일 수 있습니다.

  • Dependabot security updates 은(는) 알려진 취약성으로 종속성을 업데이트하는 데 도움이 되는 자동화된 끌어오기 요청입니다.

  • Dependabot version updates 은(는) 취약성이 없더라도 종속성을 업데이트된 상태로 유지하는 자동화된 끌어오기 요청입니다. 버전 업데이트 상태를 확인하려면 리포지토리의 Insights 탭으로 이동한 다음, Dependency Graph, Dependabot을 차례로 선택합니다.

            _Dependabot security updates_ 를 사용하도록 설정하면 구성의 일부가 _Dependabot version updates_ 에 대해 생성되는 끌어오기 요청에도 영향을 미칠 수 있습니다. 이는 일부 구성 설정이 두 업데이트 유형에 공통으로 적용되기 때문입니다. 자세한 내용은 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/customizing-dependabot-security-prs)을(를) 참조하세요.

Dependabot version updates 및 Dependabot security updates를 GitHub에서 실행하려면 Dependabot updates을(를) 사용하도록 설정하기 전에 자체 호스팅 실행기에서 GitHub Actions을(를) 사용하도록 을(를) 구성해야 합니다.GitHub Actions가 필요합니다. 자세한 내용은 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.

Dependabot security updates은(는) GitHub Actions의 취약한 종속성을 해결할 수 있습니다. 보안 업데이트를 사용하도록 설정하면 Dependabot은(는) 워크플로에 사용된 취약한 GitHub Actions을(를) 패치된 최소 버전으로 업데이트하기 위한 끌어오기 요청을 자동으로 발생합니다.

보안 업데이트에 대한 끌어오기 요청 정보

각 끌어오기 요청에는 제안된 수정 사항을 빠르고 안전하게 검토하고 프로젝트에 병합하는 데 필요한 모든 것이 포함되어 있습니다. 여기에는 릴리스 정보, 변경 로그 항목 및 커밋 세부 정보와 같은 취약성에 대한 정보가 포함됩니다. 리포지토리에 대한 Dependabot alerts에 액세스할 수 없는 모든 사람은 끌어오기 요청이 해결하는 취약성에 대한 세부 정보를 볼 수 없습니다.

보안 업데이트가 포함된 끌어오기 요청을 병합하면 해당 Dependabot 경고가 리포지토리에 대해 해결된 것으로 표시됩니다. Dependabot 풀 요청에 대한 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리를 참조하세요.

참고

끌어오기 요청이 병합되기 전에 검사가 수행되도록 자동화된 테스트와 수락 프로세스를 마련하는 것이 좋습니다. 업그레이드할 제안된 버전에 추가 기능이 포함되어 있거나 프로젝트 코드를 중단하는 변경 내용이 포함된 경우 특히 중요합니다. 연속 통합에 대한 자세한 내용은 연속 통합을(를) 참조하세요.

그룹화된 보안 업데이트에 대한 설명

표시되는 풀 요청 수를 더욱 줄이기 위해, 그룹화된 보안 업데이트를 활성화하여 의존성 집합을 패키지 에코시스템별로 그룹화할 수 있습니다. 이후 Dependabot은(는) 그룹에 포함된 가능한 한 많은 취약한 의존성을 동시에 안전한 버전으로 업데이트하는 단일 풀 요청을 생성합니다.

보안 업데이트의 경우, Dependabot은(는) 특정 조건과 구성에서만 에코시스템별로 서로 다른 디렉터리에 있는 의존성을 그룹화합니다. Dependabot은(는) 서로 다른 패키지 에코시스템에 속한 의존성을 함께 그룹화하지 않으며, 보안 업데이트와 버전 업데이트를 함께 그룹화하지도 않습니다.

다음 방법 중 하나 또는 둘 다로 Dependabot security updates에 대해 그룹화된 끌어오기 요청을 사용하도록 설정할 수 있습니다.

  • 가능한 한 많은 보안 업데이트를 디렉터리 및 에코시스템별로 그룹화하려면 리포지토리에 대한 "Advanced Security" 설정 또는 조직의 Advanced Security 아래의 "전역 설정"에서 그룹화할 수 있습니다.
  • 패키지 이름, 개발/프로덕션 종속성 또는 SemVer 수준별로, 에코시스템별로 여러 디렉터리로 그룹화하는 등과 같이 그룹화를 더 세부적으로 제어하려면 리포지토리의 dependabot.yml 구성 파일에 구성 옵션을 추가합니다.

참고

dependabot.yml 파일에서 Dependabot security updates에 대한 그룹 규칙을 구성한 경우 사용할 수 있는 모든 업데이트는 지정한 규칙에 따라 그룹화됩니다. 조직 또는 리포지토리 수준에서 그룹화된 보안 업데이트에 대한 설정도 사용하도록 설정된 경우 Dependabot은 dependabot.yml에 구성되지 않은 디렉터리 간에서만 그룹화합니다.

자세한 내용은 Dependabot 보안 업데이트 구성을(를) 참조하세요.

Dependabot updates

자동 비활성화 정보

리포지토리의 유지 관리자가 Dependabot 끌어오기 요청과 상호 작용을 중지하면 Dependabot이(가) 일시적으로 업데이트를 일시 중지하고 알려 줍니다. Dependabot 업데이트 풀 리퀘스트가 더 이상 생성되지 않습니다.을(를) 참고하세요.

Dependabot 보안 업데이트에 대한 알림 정보

GitHub에 대한 알림을 필터링하여 Dependabot 보안 업데이트를 표시할 수 있습니다. 자세한 내용은 받은 편지함에서 알림 관리을(를) 참조하세요.