Dependabot 보안 업데이트 정보

이 문서의 내용

Dependabot은 보안 업데이트를 사용하여 끌어오기 요청을 발생시켜 취약한 종속성을 해결할 수 있습니다.

Dependabot security updates은(는) 엔터프라이즈 관리자가 엔터프라이즈에서 기능을 사용할 수 있게 설정하면 GitHub Enterprise Server의 리포지토리(사용자 소유 및 조직 소유)에서 무료로 사용할 수 있습니다.

참고: 사이트 관리자가 먼저 GitHub Enterprise Server 인스턴스의 Dependabot updates을(를) 설정해야 이 기능을 사용할 수 있습니다. 자세한 내용은 “엔터프라이즈에 Dependabot 사용”을 참조하세요.

엔터프라이즈 소유자가 엔터프라이즈 수준에서 정책을 설정한 경우 Dependabot updates을(를) 사용하거나 사용하지 않도록 설정할 수 없습니다. 자세한 내용은 "엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용"을 참조하세요.

Dependabot security updates 정보

Dependabot security updates를 사용하면 리포지토리의 취약한 종속성을 더욱 쉽게 해결할 수 있습니다. 이 기능을 사용하도록 설정하면 리포지토리의 종속성 그래프에서 취약한 종속성에 대해 Dependabot 경고가 발생하면 Dependabot에서 자동으로 수정을 시도합니다. 자세한 내용은 "Dependabot 경고 정보" 및 "Dependabot 보안 업데이트 구성."의 내용을 참조하세요.

GitHub은 최근에 게시된 GitHub 보안 권고에서 공개한 취약성의 영향을 받는 리포지토리에 Dependabot alerts를 보낼 수 있습니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색"을 참조하세요.

Dependabot은 리포지토리에 대한 종속성 그래프를 방해하지 않고 취약한 종속성을 고정 버전으로 업그레이드할 수 있는지 여부를 확인합니다. 그런 다음, Dependabot은 패치를 포함하는 최소 버전으로 종속성을 업데이트하기 위한 끌어오기 요청을 발생시키고 끌어오기 요청을 Dependabot 경고에 연결하거나 경고에 대한 오류를 보고합니다. 자세한 내용은 "Dependabot 오류 문제 해결"을(를) 참조하세요.

Dependabot security updates 기능은 종속성 그래프 및 Dependabot alerts를 사용하도록 설정한 리포지토리에 사용할 수 있습니다. 전체 종속성 그래프에서 식별된 모든 취약한 종속성에 대한 Dependabot 경고가 표시됩니다. 그러나 보안 업데이트는 매니페스트 또는 잠금 파일에 지정된 종속성에 대해서만 트리거됩니다. 자세한 내용은 "종속성 그래프 정보"을(를) 참조하세요.

참고: npm의 경우, 는 명시적으로 정의된 종속성을 보안 버전으로 업데이트하기 위해 끌어오기 요청을 발생시킵니다. 이는 부모 종속성 또는 종속성 업데이트를 의미하더라도에 더 이상 필요하지 않은 하위 종속성을 제거할 수도 있습니다. 다른 에코시스템의 경우 부모 종속성에 대한 업데이트가 필요하면 Dependabot에서 간접 또는 전이적 종속성을 업데이트할 수 없습니다. 자세한 내용은 "Dependabot 오류 문제 해결"을(를) 참조하세요.

관련 기능인 Dependabot version updates를 사용하도록 설정하여 Dependabot에서 오래된 종속성을 탐지할 때마다 매니페스트를 최신 버전의 종속성으로 업데이트하기 위한 끌어오기 요청을 발생하도록 할 수 있습니다. 자세한 내용은 "Dependabot 버전 업데이트 정보"을(를) 참조하세요.

Dependabot에서 끌어오기 요청이 발생하면 이러한 끌어오기 요청은 보안 또는 버전 업데이트를 위한 것일 수 있습니다.

  • Dependabot security updates 은(는) 알려진 취약성으로 종속성을 업데이트하는 데 도움이 되는 자동화된 끌어오기 요청입니다.
  • Dependabot version updates 은(는) 취약성이 없더라도 종속성을 업데이트된 상태로 유지하는 자동화된 끌어오기 요청입니다. 버전 업데이트 상태를 확인하려면 리포지토리의 인사이트 탭으로 이동한 다음 종속성 그래프 및 Dependabot(으)로 이동합니다.

GitHub Actions은(는) Dependabot version updates 및 Dependabot security updates이(가) GitHub Enterprise Server에서 실행하기 위해 필요하지 . Dependabot updates을(를) 사용하도록 설정하기 전에 자체 호스팅 실행기에서 GitHub Actions을(를) 사용하도록 을(를) 구성해야 합니다. 자세한 내용은 "엔터프라이즈에 Dependabot 사용"을 참조하세요.

Dependabot security updates은(는) GitHub Actions의 취약한 종속성을 해결할 수 있습니다. 보안 업데이트를 사용하도록 설정하면 Dependabot은(는) 워크플로에 사용된 취약한 GitHub Actions을(를) 패치된 최소 버전으로 업데이트하기 위한 끌어오기 요청을 자동으로 발생합니다.

보안 업데이트에 대한 끌어오기 요청 정보

각 끌어오기 요청에는 제안된 수정 사항을 빠르고 안전하게 검토하고 프로젝트에 병합하는 데 필요한 모든 것이 포함되어 있습니다. 여기에는 릴리스 정보, 변경 로그 항목 및 커밋 세부 정보와 같은 취약성에 대한 정보가 포함됩니다. 리포지토리에 대한 Dependabot alerts에 액세스할 수 없는 모든 사람은 끌어오기 요청이 해결하는 취약성에 대한 세부 정보를 볼 수 없습니다.

보안 업데이트가 포함된 끌어오기 요청을 병합하면 해당 Dependabot 경고가 리포지토리에 대해 해결된 것으로 표시됩니다. Dependabot 끌어오기 요청에 대한 자세한 내용은 "종속성 업데이트에 대한 끌어오기 요청 관리"을(를) 참조하세요.

참고: 끌어오기 요청이 병합되기 전에 검사가 수행되도록 자동화된 테스트 및 수락 프로세스를 마련하는 것이 좋습니다. 업그레이드할 제안된 버전에 추가 기능이 포함되어 있거나 프로젝트 코드를 중단하는 변경 내용이 포함된 경우 특히 중요합니다. 연속 통합에 대한 자세한 내용은 “연속 통합 정보”을 참조하세요.

Dependabot 보안 업데이트에 대한 알림 정보

GitHub에 대한 알림을 필터링하여 Dependabot 보안 업데이트를 표시할 수 있습니다. 자세한 내용은 "받은 편지함에서 알림 관리"을(를) 참조하세요.