종속성 검토 정보
종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 “변경된 파일” 탭에서 서식 있는 Diff로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.
- 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성
- 이러한 구성 요소를 사용하는 프로젝트 수.
- 이러한 종속성에 대한 취약성 데이터.
프라이빗 리포지토리에서 종속성 검토를 사용하려면 먼저 종속성 그래프를 사용하도록 설정해야 합니다. 자세한 내용은 "리포지토리의 종속성 탐색" 항목을 참조하세요.
종속성 검토를 사용하면 “왼쪽으로 이동”할 수 있습니다. 제공된 예측 정보를 사용하여 프로덕션에 도달하기 전에 취약한 종속성을 파악할 수 있습니다. 자세한 내용은 "종속성 검토 정보"을(를) 참조하세요.
종속성 검토 작업을(를) 사용하여 리포지토리의 끌어오기 요청에 대한 종속성 검토를 적용할 수 있습니다. 종속성 검토 작업은 종속성 변경에 대한 pull request를 검색하고 새로운 종속성에 알려진 약점이 있는 경우 오류를 발생시킵니다. 이 작업은 두 수정 버전 간의 종속성을 비교하고 차이점을 보고하는 API 엔드포인트에서 지원됩니다.
작업 및 API 엔드포인트에 대한 자세한 내용은 dependency-review-action
설명서와 "종속성 검토에 대한 REST API 엔드포인트" 항목을 참조하세요.
catch하려는 종속성 취약성 유형을 지정하여 요구 사항에 더 잘 맞도록 종속성 검토 작업을 구성할 수 있습니다. 자세한 내용은 "종속성 검토 구성"을(를) 참조하세요.
끌어오기 요청에서 종속성 검토
-
리포지토리 이름에서 끌어오기 요청을 클릭합니다.
-
끌어오기 요청 목록에서 검토하려는 끌어오기 요청을 클릭합니다.
-
끌어오기 요청에서 변경된 파일을 클릭합니다.
-
끌어오기 요청에 많은 파일이 포함된 경우 파일 필터 드롭다운 메뉴를 사용하여 종속성을 기록하지 않는 모든 파일을 축소합니다. 이렇게 하면 종속성 변경 내용에 대한 검토에 더 쉽게 집중할 수 있습니다.
종속성 검토를 사용하면 기본적으로 원본 차이가 렌더링되지 않는 큰 잠금 파일에서 변경된 내용을 좀 더 명확하게 볼 수 있습니다.참고: 종속성 검토 서식 있는 차이는 커밋된 정적 JavaScript 파일(예:
jquery.js
)에 사용할 수 없습니다. -
매니페스트 또는 잠금 파일의 헤더 오른쪽에서 을(를) 클릭하여 종속성 검토를 표시합니다.
-
종속성 검토에 나열된 종속성을 확인합니다.
취약성이 있는 추가되거나 변경된 종속성은 먼저 심각도에 따라 정렬된 다음 종속성 이름순으로 나열됩니다. 즉, 가장 높은 심각도 종속성은 항상 종속성 검토의 맨 위에 있습니다. 다른 종속성은 종속성 이름에 따라 사전순으로 나열됩니다.
각 종속성 옆에 있는 아이콘은 이 끌어오기 요청에서 종속성이 추가되었는지(), 업데이트되었는지(), 제거되었는지()를 나타냅니다.
기타 정보는 다음과 같습니다.
- 새 종속성, 업데이트된 종속성, 삭제된 종속성의 버전 또는 버전 범위.
- 종속성의 특정 버전의 경우:
- 종속성 릴리스의 기간.
- 이 소프트웨어에 종속된 프로젝트의 수. 이 정보는 종속성 그래프에서 가져옵니다. 종속성의 수를 확인하면 실수로 잘못된 종속성을 추가하는 것을 방지할 수 있습니다.
- 이 정보를 사용할 수 있는 경우 이 종속성에서 사용하는 라이선스. 이 기능은 특정 라이선스가 있는 코드가 프로젝트에서 사용되는 것을 방지하려는 경우에 유용합니다.
종속성에 알려진 취약성이 있는 경우 경고 메시지에는 다음이 포함됩니다.
- 취약성에 대한 간략한 설명.
- CVE(Common Vulnerabilities and Exposures) 또는 GHSA(GitHub Security Advisories) ID 번호. 이 ID를 클릭하여 취약성에 대해 자세히 알아볼 수 있습니다.
- 취약성의 심각도.
- 취약성이 수정된 종속성의 버전. 다른 사용자에 대한 끌어오기 요청을 검토하는 경우 기여자에게 종속성을 패치된 버전 또는 이후 릴리스로 업데이트하도록 요청할 수 있습니다.
-
종속성을 변경하지 않는 매니페스트 또는 잠금 파일이 변경되거나, GitHub가 구문 분석할 수 없고 결과적으로 종속성 검토에 표시되지 않는 종속성이 있을 수 있으므로 원본 diff도 검토할 수 있습니다.
원본 diff 보기로 돌아가려면 단추를 클릭합니다.