Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정

사용자 고유의 자동 심사 규칙을(를) 만들어 해제하거나 다시 알림할 경고와 Dependabot에서 끌어오기 요청을 열 경고를 제어할 수 있습니다.

누가 이 기능을 사용할 수 있는 있나요?

People with write permissions can view Dependabot 자동 심사 규칙 for the repository. People with admin permissions to a repository can enable or disable 자동 심사 규칙 for the repository, as well as create 사용자 지정 자동 심사 규칙. Additionally, organization owners and security managers can set 자동 심사 규칙 at the organization-level and optionally choose to enforce rules for repositories in the organization.

Dependabot alerts의 사용자 지정 자동 심사 규칙을(를) 모든 조직 소유 리포지토리의 공개 리포지토리에서 이용할 수 있습니다(무료).

이 문서의 내용

참고: Dependabot 자동 심사 규칙은(는) 현재 베타 버전이며 변경될 수 있습니다.

사용자 지정 자동 심사 규칙 정보

경고 메타데이터를 기반으로 자체 Dependabot 자동 심사 규칙를 생성할 수 있습니다. 경고를 무기한으로 자동 해제하거나 패치를 사용할 수 있게 될 때까지 경고를 다시 알림하도록 선택할 수 있으며, 끌어오기 요청을 열 Dependabot을(를) 원하는 경고를 지정할 수 있습니다.

생성한 규칙은 향후 경고와 현재 경고에 모두 적용되므로 자동 심사 규칙을(를) 사용하여 Dependabot alerts을(를) 대량으로 관리할 수도 있습니다.

리포지토리 관리자는 퍼블릭, 프라이빗, 내부 리포지토리에 대한 % data variables.dependabot.custom_rules %}을(를) 만들 수 있습니다.

조직 소유자 및 보안 관리자는 조직 수준에서 사용자 지정 자동 심사 규칙을(를) 설정한 다음, 조직의 모든 공용 및 프라이빗 리포지토리에서 규칙의 적용 또는 사용 여부를 선택할 수 있습니다.

  • 적용: 조직 수준 규칙이 "적용"된 경우 리포지토리 관리자는 규칙을 편집, 비활성화 또는 삭제할 수 없습니다.
  • 사용: 조직 수준 규칙이 "사용"된 경우 리포지토리 관리자는 해당 리포지토리에 대한 규칙을 사용하지 않도록 설정할 수 있습니다.

참고: 조직 수준 규칙 및 리포지토리 수준 규칙이 충돌하는 동작을 지정하는 경우 조직 수준 규칙에서 설정한 작업이 우선합니다. 해제 규칙은 항상 Dependabot 끌어오기 요청을 트리거하는 규칙보다 먼저 작동합니다.

다음 메타데이터를 사용하여 경고를 대상으로 하는 규칙을 만들 수 있습니다.

  • CVE ID
  • CWE
  • 종속성 범위(devDependency 또는 runtime)
  • 에코시스템
  • GHSA ID
  • 매니페스트 경로(리포지토리 수준 규칙에만 해당)
  • 패키지 이름
  • 패치 사용 가능성
  • 심각도

사용자 지정 사용자 지정 자동 심사 규칙 및 Dependabot security updates의 상호 작용 방식 이해

사용자 지정 자동 심사 규칙을 사용하여 Dependabot에서 끌어오기 요청을 열려는 경고를 조정할 수 있습니다. 그러나 "끌어오기 요청 열기" 규칙을 적용하려면 규칙이 적용되어야 하는 리포지토리에 대해 Dependabot security updates이(가) 비활성화되어 있는지 확인해야 합니다.

Dependabot security updates을(를) 리포지토리에 사용하도록 설정하면 Dependabot에서 자동으로 끌어오기 요청을 열어 사용 가능한 패치가 있는 열려 있는 모든 Dependabot 경고를 해결합니다. 규칙을 사용하여 이 동작을 사용자 지정하려면 Dependabot security updates을(를) 비활성화 상태로 두어야 합니다.

리포지토리에 대해 Dependabot security updates을(를) 사용하거나 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 "Dependabot 보안 업데이트 구성."을 참조하세요.

리포지토리에 사용자 지정 자동 심사 규칙 추가

참고: 퍼블릭 베타 중에는 리포지토리에 대해 최대 10개의 사용자 지정 자동 심사 규칙을(를) 만들 수 있습니다.

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.
  2. 리포지토리 이름 아래에서 Settings(설정)를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.
  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.
  4. "Dependabot alerts"에서 "Dependabot 규칙"에 가까운 을(를) 클릭합니다.
  5. 새 규칙을 클릭합니다.
  6. "규칙 이름"에서 이 규칙이 수행할 작업을 설명하세요.
  7. "상태"에서 드롭다운 메뉴를 사용하여 리포지토리에 대해 규칙을 사용하도록 설정할지 또는 사용하지 않도록 설정할지 여부를 선택합니다.
  8. "대상 경고"에서 경고를 필터링하는 데 사용할 메타데이터를 선택하세요.
  9. "규칙"에서 메타데이터와 일치하는 경고에 대해 수행할 작업을 선택하세요.
    • 경고 해제를 선택하여 메타데이터와 일치하는 경고를 자동으로 해제합니다. 무기한 또는 패치를 사용할 수 있을 때까지 경고 해제하도록 선택할 수 있습니다.
    • Dependabot에서 대상 메타데이터와 일치하는 경고를 해결하기 위해 변경 내용을 제안하게 하려면 끌어오기 요청을 열어 이 경고 해결을 선택합니다. 경고를 무기한 해제하는 옵션을 이미 선택한 경우 또는 리포지토리 설정에서 Dependabot security updates을(를) 사용하도록 설정한 경우 이 옵션을 사용할 수 없습니다.
  10. 규칙 만들기를 클릭합니다.

조직에 사용자 지정 자동 심사 규칙 추가

참고: 퍼블릭 베타 중에는 조직에 대해 최대 25개의 사용자 지정 자동 심사 규칙을 만들 수 있습니다.

  1. GitHub.com의 오른쪽 위에서 프로필 사진을 선택한 다음 내 조직을 클릭합니다.

    @octocat 프로필 사진의 드롭다운 메뉴 스크린샷입니다. "조직"이 진한 주황색으로 표시됩니다.

  2. 조직 옆에 있는 설정을 클릭합니다.

  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을** 클릭합니다**.

Note

조직이 security configurations 및 global settings 공개 베타에 등록되어 있는 경우, "코드 보안 및 분석" 대신 "코드 보안" 드롭다운 메뉴가 표시됩니다. 코드 보안을 선택한 다음 Global settings 을 클릭합니다. global settings으로 조직에 Dependabot 자동 심사 규칙을 추가하는 방법에 대한 다음 단계는 "조직에 대한 글로벌 보안 설정 구성"을 참조하세요.

  1. "Dependabot", "Dependabot alerts"에서 "Dependabot 규칙"에 가까운 을(를) 클릭합니다.
  2. 새 규칙을 클릭합니다.
  3. "규칙 이름"에서 이 규칙이 수행할 작업을 설명하세요.
  4. "상태"에서 드롭다운 메뉴를 사용하여 규칙을 적용할 방법을 선택합니다.
    • 리포지토리 관리자가 리포지토리의 설정 페이지에서 규칙을 편집, 비활성화 또는 삭제할 수 없게 하려면 적용을 선택합니다.
    • 모든 리포지토리에 대해 기본적으로 규칙을 설정하는 동시에 리포지토리 관리자가 리포지토리의 설정 페이지에서 규칙을 사용하지 않도록 설정하려면 사용을 선택합니다.
    • 또는 리포지토리 수준에서 재정의할 수 없는 규칙을 사용 안 함으로 설정할 수 있습니다. 비활성화된 규칙은 모든 리포지토리에서 숨겨집니다.
  5. "대상 경고"에서 경고를 필터링하는 데 사용할 메타데이터를 선택하세요.
  6. "규칙"에서 메타데이터와 일치하는 경고에 대해 수행할 작업을 선택하세요.
    • 경고 해제를 선택하여 메타데이터와 일치하는 경고를 자동으로 해제합니다. 무기한 또는 패치를 사용할 수 있을 때까지 경고 해제하도록 선택할 수 있습니다.
    • Dependabot에서 메타데이터와 일치하는 경고를 해결하기 위해 변경 내용을 제안하려면 끌어오기 요청을 열어 이 경고 해결을 선택합니다. 경고를 무기한 해제하는 옵션을 선택한 경우 이 옵션을 사용할 수 없습니다.
  7. 규칙 만들기를 클릭합니다.

리포지토리에 대한 사용자 지정 자동 심사 규칙 편집 또는 삭제

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.
  2. 리포지토리 이름 아래에서 Settings(설정)를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.
  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.
  4. "Dependabot alerts"에서 "Dependabot 규칙"에 가까운 을(를) 클릭합니다.
  5. "리포지토리 규칙"에서 편집 또는 삭제할 규칙의 오른쪽에서 을(를) 클릭합니다.
  6. 규칙을 편집하려면 해당 필드를 변경한 다음 규칙 저장을 클릭합니다.
  7. 규칙을 삭제하려면 "위험 영역"에서 규칙 삭제를 클릭합니다.
  8. "이 규칙을 삭제하시겠습니까?" 대화 상자에서 정보를 검토한 다음 규칙 삭제를 클릭합니다.

조직의 사용자 지정 자동 심사 규칙 편집 또는 삭제

  1. GitHub.com의 오른쪽 위에서 프로필 사진을 선택한 다음 내 조직을 클릭합니다.

    @octocat 프로필 사진의 드롭다운 메뉴 스크린샷입니다. "조직"이 진한 주황색으로 표시됩니다.

  2. 조직 옆에 있는 설정을 클릭합니다.

  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을** 클릭합니다**.

Note

조직이 security configurations 및 global settings 공개 베타에 등록되어 있는 경우, "코드 보안 및 분석" 대신 "코드 보안" 드롭다운 메뉴가 표시됩니다. 코드 보안을 선택한 다음 Global settings 을 클릭합니다. global settings으로 조직에서 Dependabot 자동 심사 규칙을 편집하거나 삭제하는 방법에 대한 다음 단계는 "조직에 대한 글로벌 보안 설정 구성"을 참조하세요.

  1. "Dependabot", "Dependabot alerts"에서 "Dependabot 규칙"에 가까운 을(를) 클릭합니다.
  2. "조직 규칙"에서 편집 또는 삭제할 규칙의 오른쪽에서 을(를) 클릭합니다.
  3. 규칙을 편집하려면 해당 필드를 변경한 다음 규칙 저장을 클릭합니다.
  4. 규칙을 삭제하려면 "위험 영역"에서 규칙 삭제를 클릭합니다.
  5. "이 규칙을 삭제하시겠습니까?" 대화 상자에서 정보를 검토한 다음 규칙 삭제를 클릭합니다.