GitHub 사전 설정
정보
Dismiss low impact issues for development-scoped dependencies
규칙은 GitHub 사전 설정으로, 개발에 사용된 npm 종속성에서 발견된 특정 유형의 약점을 자동 해제합니다. 이러한 경고는 대부분의 개발자에게 거짓 경보처럼 느껴지는 사례를 관련 약점으로 다룹니다.
- 개발자(비프로덕션이나 런타임) 환경에서는 악용될 가능성이 낮습니다.
- 리소스 관리, 프로그래밍 및 논리 또는 정보 공개 문제와 관련될 수 있습니다.
- 최악의 경우, 느린 빌드 또는 장기 실행 테스트와 같은 제한된 효과가 발생합니다.
- 프로덕션의 이슈를 나타내지 않습니다.
Note
영향이 적은 개발 경고의 자동 해제는 현재 npm에 대해서만 지원됩니다.
Dismiss low impact issues for development-scoped dependencies
규칙에는 리소스 관리, 프로그래밍, 논리, 정보 공개 문제와 관련된 약점이 포함되어 있습니다. 자세한 내용은 "Dismiss low impact issues for development-scoped dependencies
규칙에서 사용하는 공개 CWU"를 참조하세요.
이러한 낮은 영향 경고를 필터링하는 경우 잠재적으로 위험 수준이 높은 개발 범위 경고 누락에 대해 걱정할 필요 없이 중요한 경고에 집중할 수 있습니다.
Dismiss low impact issues for development-scoped dependencies
규칙은 기본적으로 퍼블릭 리포지토리에서는 사용, 프라이빗 리포지토리에서는 사용 안 함으로 설정됩니다. 프라이빗 리포지토리의 관리자는 해당 리포지토리에 대해 규칙을 사용하도록 설정함으로써 옵트인할 수 있습니다.
프라이빗 리포지토리에 Dismiss low impact issues for development-scoped dependencies
규칙 사용
리포지토리에서 Dependabot alerts을(를) 사용하도록 먼저 설정해야 합니다. 자세한 내용은 "Dependabot 경고 구성"을(를) 참조하세요.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 Settings(설정)를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
-
사이드바의 "Security" 섹션에서 Code security 를 클릭합니다.
-
"Dependabot alerts"에서 "Dependabot 규칙"에 가까운 을 클릭하세요.
-
"GitHub 사전 설정"의 오른쪽에 있는 "개발 범위 종속성에 대한 낮은 영향 문제 해제"에서 .을 클릭합니다.
-
"상태"에서 드롭다운 메뉴를 선택하고 "사용"을 클릭합니다.
-
규칙 저장을 클릭합니다.
Dismiss low impact issues for development-scoped dependencies
규칙에서 사용하는 공개 CWU
ecosystem:npm
및 scope:development
경고 메타데이터와 함께 다음 GitHub큐레이팅된 CWU(Common Weakness Enumerations)를 사용하여 Dismiss low impact issues for development-scoped dependencies
규칙에 대한 낮은 영향 경고를 필터링합니다. 해당 목록과 기본 제공 규칙에서 다루는 약점 패턴을 정기적으로 개선합니다.
리소스 관리 이슈
- CWE-400 제어되지 않은 리소스 사용량
- CWE-770 제한 또는 제한 없이 리소스 할당
- CWE-409 압축률이 높은 데이터의 부적절한 처리(데이터 증폭)
- CWE-908 초기화되지 않은 리소스 사용
- CWE-1333 비효율적인 정규식 복잡성
- CWE-835 연결할 수 없는 종료 조건이 있는 루프('무한 루프')
- CWE-674 제어되지 않은 재귀
- CWE-1119 무조건적 분기의 과도한 사용
프로그래밍 및 논리 오류
- CWE-185 잘못된 정규식
- CWE-754 비정상적이거나 예외적인 조건에 대한 부적절한 검사
- CWE-755 예외 조건의 부적절한 처리
- CWE-248 확인할 수 없는 예외
- CWE-252 검사하지 않은 반환 값
- CWE-391 검사하지 않은 오류 조건
- CWE-696 잘못된 동작 순서
- CWE-1254 잘못된 비교 논리 세분성
- CWE-665 부적절한 초기화
- CWE-703 예외 조건의 부적절한 검사 또는 처리
- CWE-178 대/소문자 구분의 부적절한 처리
정보 공개 이슈
- CWE-544 누락된 표준 오류 처리 메커니즘
- CWE-377 안전하지 않은 임시 파일
- CWE-451 중요 정보에 대한 UI(사용자 인터페이스) 허위 표시
- CWE-668 잘못된 Sphere에 리소스 노출