Skip to main content

Dependabot을 사용하여 작업을 최신 상태로 유지

Dependabot을 사용하여 사용하는 작업을 최신 버전으로 업데이트할 수 있습니다.

작업에 대한 Dependabot version updates 정보

작업은 버그 수정 및 새로운 기능으로 수시로 업데이트되어 자동화된 프로세스의 신뢰성, 속도, 안전을 향상합니다. GitHub Actions에 Dependabot version updates를 사용하도록 설정하면 Dependabot이 리포지토리의 workflow.yml 파일에 있는 작업에 대한 참조를 최신 상태로 유지할 수 있습니다. 파일의 각 작업에 대해 Dependabot은 작업 참조(일반적으로 작업과 연결된 버전 번호 또는 커밋 식별자)를 최신 버전과 비교합니다. 최신 버전의 작업을 사용할 수 있는 경우 Dependabot은 워크플로 파일의 참조를 최신 버전으로 업데이트하는 끌어오기 요청을 전송합니다. Dependabot version updates에 대한 자세한 내용은 “Dependabot version updates 정보”를 참조하세요. GitHub Actions에 워크플로를 구성하는 방법에 대한 자세한 내용은 “GitHub Actions에 대해 알아보기”를 참조하세요.

참고: Dependabot 끌어오기 요청에 의해 트리거되는 워크플로 실행은 포크된 리포지토리에서 온 것처럼 실행되므로 읽기 전용 GITHUB_TOKEN을 사용합니다. 이러한 워크플로 실행은 비밀에 액세스할 수 없습니다. 이러한 워크플로를 안전하게 유지하기 위한 전략은 "GitHub Actions 및 워크플로 보안 유지: pwn 요청 방지"를 참조하세요.

작업에 Dependabot version updates 사용

Dependabot version updates를 구성하여 작업뿐만 아니라 사용하는 라이브러리 및 패키지를 유지할 수 있습니다.

  1. 다른 에코시스템 또는 패키지 관리자에 대해 Dependabot version updates를 이미 사용하도록 설정한 경우 기존 dependabot.yml 파일을 열기만 하면 됩니다. 그렇지 않으면 리포지토리의 .github 디렉터리에 dependabot.yml 구성 파일을 만듭니다. 자세한 내용은 “Dependabot 버전 업데이트 구성”을 참조하세요.
  2. 모니터링할 package-ecosystem으로 "github-actions"를 지정합니다.
  3. directory"/"로 설정하여 .github/workflows에서 워크플로 파일을 확인합니다.
  4. schedule.interval을 설정하여 새 버전을 확인하는 빈도를 지정합니다.
  5. 리포지토리의 .github 디렉터리에 있는 dependabot.yml 구성 파일을 확인합니다. 기존 파일을 편집한 경우 변경 내용을 저장합니다.

포크에서 Dependabot version updates를 사용하도록 설정할 수도 있습니다. 자세한 내용은 “Dependabot 버전 업데이트 구성”을 참조하세요.

GitHub Actions에 대한 dependabot.yml 파일 예시

아래 예시 dependabot.yml 파일은 GitHub Actions에 대한 버전 업데이트를 구성합니다. .github/workflows에서 워크플로 파일을 확인하려면 directory"/"로 설정해야 합니다. schedule.interval"weekly"로 설정됩니다. 이 파일을 체크 인하거나 업데이트한 후 Dependabot은 새 버전의 작업을 확인합니다. Dependabot은 오래된 작업을 위한 버전 업데이트에 대한 끌어오기 요청을 발행합니다. 초기 버전이 업데이트된 후 Dependabot은(는) 일주일에 한 번 오래된 버전의 작업을 계속 확인합니다.

# Set update schedule for GitHub Actions

version: 2
updates:

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      # Check for updates to GitHub Actions every week
      interval: "weekly"

작업에 대한 Dependabot version updates 구성

작업에 Dependabot version updates를 사용하도록 설정하는 경우, package-ecosystem, directory, schedule.interval 값을 지정해야 합니다. 버전 업데이트를 추가적으로 사용자 지정하도록 설정할 수 있는 더 많은 선택적 속성이 있습니다. 자세한 내용은 “dependabot.yml 파일에 대한 구성 옵션”을 참조하세요.

추가 참고 자료