Skip to main content

Dependabot 경고 우선 순위 지정을 위해 GitHub 큐레이팅된 기본값 규칙 사용

GitHub 큐레이팅된 기본값 규칙을 사용하여 npm 종속성에 대한 낮은 영향 개발 경고를 자동으로 해제할 수 있습니다.

누가 이 기능을 사용할 수 있는 있나요?

People with write permissions can view Dependabot 자동 심사 규칙 for the repository. People with admin permissions to a repository can enable or disable GitHub 큐레이팅 자동 심사 규칙 for the repository. Organization owners and security managers can enable or disable GitHub 큐레이팅 자동 심사 규칙 at the organization-level and optionally choose to enforce rules for repositories in the organization.

참고: Dependabot 자동 심사 규칙은(는) 현재 베타 버전이며 변경될 수 있습니다.

GitHub 큐레이팅 자동 심사 규칙

정보

GitHub 큐레이팅된 기본값 규칙인 Dismiss low impact issues for development-scoped dependencies은(는) 개발에 사용되는 npm 종속성에 있는 특정 유형의 취약성을 자동으로 해제합니다. 이러한 경고는 대부분의 개발자에게 거짓 경보처럼 느껴지는 사례를 관련 약점으로 다룹니다.

  • 개발자(비프로덕션이나 런타임) 환경에서는 악용될 가능성이 낮습니다.
  • 리소스 관리, 프로그래밍 및 논리 또는 정보 공개 문제와 관련될 수 있습니다.
  • 최악의 경우, 느린 빌드 또는 장기 실행 테스트와 같은 제한된 효과가 발생합니다.
  • 프로덕션의 이슈를 나타내지 않습니다.

노트: 낮은 영향 개발 경고의 자동 해제는 현재 npm에 대해서만 지원됩니다.

GitHub 큐레이팅된 기본값 규칙인 Dismiss low impact issues for development-scoped dependencies에는 리소스 관리, 프로그래밍 및 논리, 정보 공개 문제와 관련된 취약성이 포함됩니다. 자세한 내용은 "Dismiss low impact issues for development-scoped dependencies 규칙에서 사용하는 공개 CWU"를 참조하세요.

이러한 낮은 영향 경고를 필터링하는 경우 잠재적으로 위험 수준이 높은 개발 범위 경고 누락에 대해 걱정할 필요 없이 중요한 경고에 집중할 수 있습니다.

GitHub큐레이팅된 기본값 규칙인 Dismiss low impact issues for development-scoped dependencies은(는) 기본적으로 공용 리포지토리에 대해 사용하도록 설정되며 프라이빗 리포지토리에 대해 비활성화할 수 있습니다. 프라이빗 리포지토리의 관리자는 해당 리포지토리에 대해 규칙을 사용하도록 설정함으로써 옵트인할 수 있습니다.

프라이빗 리포지토리에 Dismiss low impact issues for development-scoped dependencies 규칙 사용

리포지토리에서 Dependabot alerts을(를) 사용하도록 먼저 설정해야 합니다. 자세한 내용은 "Dependabot 경고 구성"을(를) 참조하세요.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings(설정)를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.

  4. "Dependabot alerts"에서 "Dependabot 규칙"에 가까운 을 클릭하세요.

    리포지토리 "코드 보안 및 분석" 페이지 스크린샷. 기어 아이콘은 주황색 윤곽선으로 강조 표시됩니다.

  5. "GitHub 사전 설정"의 오른쪽에 있는 "개발 범위 종속성에 대한 낮은 영향 문제 해제"에서 .을 클릭합니다.

  6. "상태"에서 드롭다운 메뉴를 선택하고 "사용"을 클릭합니다.

  7. 규칙 저장을 클릭합니다.

Dismiss low impact issues for development-scoped dependencies 규칙에서 사용하는 공개 CWU

ecosystem:npmscope:development 경고 메타데이터와 함께 다음 GitHub큐레이팅된 CWU(Common Weakness Enumerations)를 사용하여 Dismiss low impact issues for development-scoped dependencies 규칙에 대한 낮은 영향 경고를 필터링합니다. 해당 목록과 기본 제공 규칙에서 다루는 약점 패턴을 정기적으로 개선합니다.

리소스 관리 이슈

  • CWE-400 제어되지 않은 리소스 사용량
  • CWE-770 제한 또는 제한 없이 리소스 할당
  • CWE-409 압축률이 높은 데이터의 부적절한 처리(데이터 증폭)
  • CWE-908 초기화되지 않은 리소스 사용
  • CWE-1333 비효율적인 정규식 복잡성
  • CWE-835 연결할 수 없는 종료 조건이 있는 루프('무한 루프')
  • CWE-674 제어되지 않은 재귀
  • CWE-1119 무조건적 분기의 과도한 사용

프로그래밍 및 논리 오류

  • CWE-185 잘못된 정규식
  • CWE-754 비정상적이거나 예외적인 조건에 대한 부적절한 검사
  • CWE-755 예외 조건의 부적절한 처리
  • CWE-248 확인할 수 없는 예외
  • CWE-252 검사하지 않은 반환 값
  • CWE-391 검사하지 않은 오류 조건
  • CWE-696 잘못된 동작 순서
  • CWE-1254 잘못된 비교 논리 세분성
  • CWE-665 부적절한 초기화
  • CWE-703 예외 조건의 부적절한 검사 또는 처리
  • CWE-178 대/소문자 구분의 부적절한 처리

정보 공개 이슈

  • CWE-544 누락된 표준 오류 처리 메커니즘
  • CWE-377 안전하지 않은 임시 파일
  • CWE-451 중요 정보에 대한 UI(사용자 인터페이스) 허위 표시
  • CWE-668 잘못된 Sphere에 리소스 노출