GitHub Actions 실행기의 Dependabot 정보

GitHub Actions 실행기의 Dependabot 정보

기본적으로 Dependabot updates은(는) GitHub Enterprise Cloud의 기본 제공 Dependabot 애플리케이션을 사용하여 실행됩니다. 대신 GitHub Actions에서 Dependabot updates을(를) 실행하여 성능 향상과 Dependabot updates 작업의 가시성 및 제어를 향상하도록 선택할 수 있습니다.

GitHub Actions 실행기를 사용하면 Dependabot 작업 오류를 보다 쉽게 식별하고 실패한 실행을 수동으로 검색하며 문제를 해결할 수 있습니다. GitHub Actions API 및 웹후크를 통해 Dependabot을(를) CI/CD 파이프라인에 통합하여 실행 실패와 같은 Dependabot 작업 상태를 검색하고 다운스트림 처리를 수행할 수도 있습니다. 자세한 내용은 "GitHub Actions에 대한 REST API 엔드포인트" 및 "웹후크 이벤트 및 페이로드"을(를) 참조하세요.

자체 호스팅 실행기 또는 대형 러너의 GitHub Actions에서 Dependabot을(를) 실행할 수 없습니다. Azure VNET(Virtual Network) 또는 ARC(Actions Runner Controller)와 함께 프라이빗 네트워킹을 사용하는 것은 지원되지 않습니다.

GitHub에서 Dependabot을(를) 실행하는 것은 포함된 GitHub Actions분으로 계산되지 않습니다. 자세한 내용은 "GitHub Actions 요금 청구 정보"을(를) 참조하세요.

GitHub Actions에서 Dependabot을(를) 사용하도록 설정하면 계정에서 실행되는 동시 작업 수가 증가할 수 있습니다. 필요한 경우 엔터프라이즈 플랜의 고객은 동시 작업에 대해 더 높은 한도를 요청할 수 있습니다. 자세한 내용은 GitHub 지원 포털을(를) 통해 저희에게 문의하거나 영업 담당자에게 문의하세요.

GitHub Actions 실행기에서 Dependabot 사용으로 전환하고 조직의 개인 리소스 또는 리포지토리의 개인 리소스에 대한 액세스를 제한하는 경우 허용된 IP 주소 목록을 업데이트해야 할 수 있습니다. 예를 들어 현재 개인 리소스에 대한 액세스를 Dependabot에서 사용하는 IP 주소로 제한하는 경우 메타 API 엔드포인트에서 제공하는 GitHub 호스트형 실행기 IP 주소를 사용하도록 허용 목록을 업데이트해야 합니다. 자세한 내용은 "메타 데이터에 대한 REST API 엔드포인트"을(를) 참조하세요.

엔터프라이즈에서만 작업 및 재사용 가능한 워크플로를 허용하는 정책을 적용하고 GitHub Actions에서 Dependabot을(를) 사용하도록 설정하면 Dependabot이(가) 실행되지 않습니다. Dependabot을(를) 엔터프라이즈 작업 및 재사용 가능한 워크플로와 함께 실행할 수 있도록 하려면 GitHub에서 만든 작업을 허용하거나 지정된 작업 및 재사용 가능한 워크플로를 허용하도록 선택해야 합니다. 자세한 정보는 "엔터프라이즈에서 GitHub Actions에 대한 정책 적용"을(를) 참조하세요.

GitHub Actions 실행기에서 Dependabot 사용 또는 사용 안 함

사용자 계정 또는 조직에서 만든 새 리포지토리는 다음 중 어느 것이라도 해당하는 경우 GitHub Actions에서 Dependabot을(를) 실행하도록 자동으로 구성됩니다.

• Dependabot이(가) 설치되고 사용하도록 설정되었으며 GitHub Actions이(가) 사용하도록 설정되고 사용 중입니다.
• 조직에 대한 "GitHub Actions 실행기의 Dependabot" 설정이 사용하도록 설정되었습니다.

기존 리포지토리의 경우 다음과 같이 GitHub Actions에서 Dependabot을(를) 실행하도록 옵트인할 수 있습니다.

GitHub Enterprise Cloud의 향후 릴리스에서는 GitHub Actions에서 Dependabot을(를) 실행하지 않도록 설정하는 기능이 제거됩니다.

조직 또는 리포지토리의 개인 리소스에 대한 액세스를 제한하는 경우 GitHub Actions 실행기에서 Dependabot을(를) 사용하도록 설정하기 전에 허용된 IP 주소 목록을 업데이트해야 할 수 있습니다. 메타 REST API 엔드포인트에서 제공하는 GitHub 호스트형 실행기 IP 주소(Dependabot IP 주소 대신)를 사용하도록 IP 허용 목록을 업데이트할 수 있습니다.

“GitHub Actions 실행기에서 Dependabot" 설정을 사용하지 않도록 설정하고 다시 사용하도록 설정해도 새 Dependabot 실행이 트리거되지는 않습니다.

리포지토리 사용 또는 사용 안 함

공용, 프라이빗이나 내부 리포지토리의 GitHub Actions에서 Dependabot을(를) 관리할 수 있습니다.

1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.
2. 리포지토리 이름 아래에서 Settings(설정)를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
   
3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.
4. “코드 보안 및 분석” 아래 "GitHub Actions 실행기의 Dependabot" 오른쪽에 있는 사용을 클릭하여 기능을 사용하도록 설정하거나 사용 안 함을 클릭하여 사용하지 않도록 설정합니다.

조직에 사용 또는 사용 안 함으로 설정

"코드 보안 및 분석"에 대한 조직 설정 페이지를 사용하여 조직의 모든 기존 리포지토리에 대해 GitHub Actions의 Dependabot을(를) 사용하도록 설정할 수 있습니다. 다음 구성이 포함된 리포지토리만 다음번에 Dependabot 작업이 트리거될 때 GitHub Actions에서 Dependabot을(를) 실행하도록 업데이트됩니다.

• 리포지토리에서 Dependabot이(가) 사용하도록 설정되었습니다.
• 리포지토리에서 GitHub Actions이(가) 사용하도록 설정되었습니다.

조직의 리포지토리에서 Dependabot을(를) 사용하도록 설정했지만 GitHub Actions을(를) 사용하지 않도록 설정한 경우 Dependabot은(는) GitHub Actions에서 실행되지 않지만 기본 제공 Dependabot 애플리케이션을 사용하여 계속 실행됩니다.

1. GitHub.com의 오른쪽 위에서 프로필 사진을 선택한 다음 내 조직을 클릭합니다.

   

2. 조직 옆에 있는 설정을 클릭합니다.

3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을** 클릭합니다**.

4. “코드 보안 및 분석” 아래 "GitHub Actions 실행기의 Dependabot" 오른쪽에 있는 모두 사용을 클릭하여 기능을 사용하도록 설정하거나 모두 사용 안 함을 클릭하여 사용하지 않도록 설정합니다.

GitHub Actions 실행기의 Dependabot 관리

GitHub Actions 작업의 Dependabot이(가) 실행되면 Dependabot 작업 로그에서 직접 워크플로 실행 기록을 검토할 수 있습니다. 자세한 내용은 "Dependabot 작업 로그 보기"을(를) 참조하세요.

리포지토리의 작업 탭에서 실행되는 Dependabot 워크플로로 이동할 수도 있습니다. 자세한 내용은 "워크플로 실행 기록 보기"을(를) 참조하세요.

Dependabot version updates 또는 Dependabot security updates 작업을 다시 실행하려면 아래의 적절한 절차를 사용합니다. 다른 GitHub Actions 워크플로 및 작업의 경우와 마찬가지로 Dependabot에서 작업을 다시 실행할 수 없습니다. 즉, 리포지토리의 작업 탭을 사용하여 다시 실행할 수 없습니다. 조직의 GitHub Actions 사용 현황 메트릭에서 Dependabot updates 워크플로 및 작업에 대한 사용량 현황 데이터는 볼 수 없습니다.

Dependabot version updates 작업 다시 실행

1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

2. 리포지토리 이름 아래에서 인사이트를 클릭합니다.

   

3. 왼쪽 사이드바에서 종속성 그래프를 클릭합니다.

   

4. “종속성 그래프”에서 Dependabot 을 클릭합니다.

5. 관심 있는 매니페스트 파일 이름 오른쪽에서 최근 업데이트 작업을 클릭합니다.

6. 영향을 받는 매니페스트 파일의 오른쪽에서 업데이트 확인을 클릭하여 Dependabot version updates 작업을 다시 실행하고 해당 에코시스템의 종속성에 대한 새 업데이트를 확인합니다.

Dependabot security updates 작업 다시 실행

1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.
2. 리포지토리 이름 아래에서 보안을 클릭합니다.
3. 왼쪽 사이드바의 "취약성 경고"에서 Dependabot 을(를) 클릭합니다.
4. "Dependabot" 아래에서 보려는 경고를 클릭합니다.
5. 경고에 대한 오류 세부 정보가 표시된 섹션에서 다시 시도를 클릭하여 Dependabot security updates 작업을 다시 실행합니다.

Dependabot이 기존 워크플로를 트리거할 때 발생하는 오류 문제 해결

GitHub.com에서 Dependabot 업데이트를 설정한 후 Dependabot 이벤트로 기존 워크플로가 트리거될 때 오류가 표시될 수 있습니다.

기본적으로 Dependabot의 push, pull_request, pull_request_review 또는 pull_request_review_comment 이벤트에서 트리거된 GitHub Actions 워크플로 실행은 리포지토리 포크에서 열린 것처럼 처리됩니다. 이 경우 다른 작업자에서 트리거된 워크플로와 달리, 읽기 전용 GITHUB_TOKEN을 받게 되며 일반적으로 사용할 수 있는 비밀에 액세스할 수 없습니다. 따라서 리포지토리에 쓰려는 워크플로가 Dependabot에서 트리거된 경우 실패합니다.

문제를 해결하는 방법에는 다음 세 가지가 있습니다.

1. if: github.actor != 'dependabot[bot]'과 같은 식을 사용하여 더 이상 Dependabot에서 트리거되지 않도록 워크플로를 업데이트할 수 있습니다. 자세한 내용은 "식"을(를) 참조하세요.
2. pull_request_target이 포함되어 이 제한 사항이 없는 2단계 프로세스를 사용하도록 워크플로를 수정할 수 있습니다. 자세한 내용은 "GitHub Actions를 통한 Dependabot 자동화"을(를) 참조하세요.
3. 비밀에 대한 Dependabot 액세스로 트리거되는 워크플로를 제공하고 permissions 용어가 GITHUB_TOKEN의 기본 범위를 늘리도록 허용할 수 있습니다. 자세한 내용은 "GitHub Actions를 통한 Dependabot 자동화" 및 "GitHub Actions에 대한 워크플로 구문" 섹션을 참조하세요.