끌어오기 요청에서 종속성 변경 검토

끌어오기 요청에 종속성 변경 내용이 포함된 경우 변경된 내용 및 종속성에 알려진 취약성이 있는지 여부에 대한 요약을 볼 수 있습니다.

누가 이 기능을 사용할 수 있나요?

종속성 검토는 퍼블릭 리포지토리의 GitHub Enterprise Cloud에 포함됩니다. 조직이 소유한 프라이빗 리포지토리에서 종속성 검토를 사용하려면 GitHub Advanced Security에 대한 라이선스가 있어야 합니다. 자세한 내용은 "GitHub Advanced Security 정보"을(를) 참조하세요.

이 문서의 내용

종속성 검토 정보

종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 “변경된 파일” 탭에서 서식 있는 Diff로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.

  • 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성
  • 이러한 구성 요소를 사용하는 프로젝트 수.
  • 이러한 종속성에 대한 취약성 데이터.

프라이빗 리포지토리에서 종속성 검토를 사용하려면 먼저 종속성 그래프를 사용하도록 설정해야 합니다. 자세한 내용은 "리포지토리의 종속성 탐색" 항목을 참조하세요.

종속성 검토를 사용하면 “왼쪽으로 이동”할 수 있습니다. 제공된 예측 정보를 사용하여 프로덕션에 도달하기 전에 취약한 종속성을 파악할 수 있습니다. 자세한 내용은 "종속성 검토 정보"을(를) 참조하세요.

종속성 검토 작업을(를) 사용하여 리포지토리의 끌어오기 요청에 대한 종속성 검토를 적용할 수 있습니다. 종속성 검토 작업은 종속성 변경에 대한 pull request를 검색하고 새로운 종속성에 알려진 약점이 있는 경우 오류를 발생시킵니다. 이 작업은 두 수정 버전 간의 종속성을 비교하고 차이점을 보고하는 API 엔드포인트에서 지원됩니다.

작업 및 API 엔드포인트에 대한 자세한 내용은 dependency-review-action 설명서와 "종속성 검토에 대한 REST API 엔드포인트" 항목을 참조하세요.

catch하려는 종속성 취약성 유형을 지정하여 요구 사항에 더 잘 맞도록 종속성 검토 작업을 구성할 수 있습니다. 자세한 내용은 "종속성 검토 구성"을(를) 참조하세요.

끌어오기 요청에서 종속성 검토

  1. 리포지토리 이름에서 끌어오기 요청을 클릭합니다.

    리포지토리의 기본 페이지 스크린샷입니다. 가로 탐색 모음에서 "끌어오기 요청"이라는 레이블이 있는 탭이 진한 주황색 윤곽선으로 표시되어 있습니다.

  2. 끌어오기 요청 목록에서 검토하려는 끌어오기 요청을 클릭합니다.

  3. 끌어오기 요청에서 변경된 파일을 클릭합니다.

    끌어오기 요청 탭의 스크린샷. "변경된 파일" 탭이 진한 주황색으로 표시됩니다.

  4. 끌어오기 요청에 많은 파일이 포함된 경우 파일 필터 드롭다운 메뉴를 사용하여 종속성을 기록하지 않는 모든 파일을 축소합니다. 이렇게 하면 종속성 변경 내용에 대한 검토에 더 쉽게 집중할 수 있습니다.

    "변경된 파일" 탭의 스크린샷. "파일 필터"라는 레이블이 있는 드롭다운이 확장되고 확인란이 있는 파일 형식 목록이 표시되어 있습니다.
    종속성 검토를 사용하면 기본적으로 원본 차이가 렌더링되지 않는 큰 잠금 파일에서 변경된 내용을 좀 더 명확하게 볼 수 있습니다.

    참고: 종속성 검토 서식 있는 차이는 커밋된 정적 JavaScript 파일(예: jquery.js)에 사용할 수 없습니다.

  5. 매니페스트 또는 잠금 파일의 헤더 오른쪽에서 을(를) 클릭하여 종속성 검토를 표시합니다.

    끌어오기 요청의 "변경된 파일" 탭 스크린샷 파일 아이콘이 레이블로 표시되어 있는 리치 Diff 표시 단추가 진한 주황색 윤곽선으로 표시됩니다.

  6. 종속성 검토에 나열된 종속성을 확인합니다.

    끌어오기 요청에 대한 종속성 검토의 취약성 경고 스크린샷.

    취약성이 있는 추가되거나 변경된 종속성은 먼저 심각도에 따라 정렬된 다음 종속성 이름순으로 나열됩니다. 즉, 가장 높은 심각도 종속성은 항상 종속성 검토의 맨 위에 있습니다. 다른 종속성은 종속성 이름에 따라 사전순으로 나열됩니다.

    각 종속성 옆에 있는 아이콘은 이 끌어오기 요청에서 종속성이 추가되었는지(), 업데이트되었는지(), 제거되었는지()를 나타냅니다.

    기타 정보는 다음과 같습니다.

    • 새 종속성, 업데이트된 종속성, 삭제된 종속성의 버전 또는 버전 범위.
    • 종속성의 특정 버전의 경우:
      • 종속성 릴리스의 기간.
      • 이 소프트웨어에 종속된 프로젝트의 수. 이 정보는 종속성 그래프에서 가져옵니다. 종속성의 수를 확인하면 실수로 잘못된 종속성을 추가하는 것을 방지할 수 있습니다.
      • 이 정보를 사용할 수 있는 경우 이 종속성에서 사용하는 라이선스. 이 기능은 특정 라이선스가 있는 코드가 프로젝트에서 사용되는 것을 방지하려는 경우에 유용합니다.

    종속성에 알려진 취약성이 있는 경우 경고 메시지에는 다음이 포함됩니다.

    • 취약성에 대한 간략한 설명.
    • CVE(Common Vulnerabilities and Exposures) 또는 GHSA(GitHub Security Advisories) ID 번호. 이 ID를 클릭하여 취약성에 대해 자세히 알아볼 수 있습니다.
    • 취약성의 심각도.
    • 취약성이 수정된 종속성의 버전. 다른 사용자에 대한 끌어오기 요청을 검토하는 경우 기여자에게 종속성을 패치된 버전 또는 이후 릴리스로 업데이트하도록 요청할 수 있습니다.

  7. 종속성을 변경하지 않는 매니페스트 또는 잠금 파일이 변경되거나, GitHub가 구문 분석할 수 없고 결과적으로 종속성 검토에 표시되지 않는 종속성이 있을 수 있으므로 원본 diff도 검토할 수 있습니다.

    원본 diff 보기로 돌아가려면 단추를 클릭합니다.

    끌어오기 요청의 "파일 변경됨" 탭 스크린샷 코드 아이콘이 레이블로 표시되어 있는 원본 Diff 표시 단추가 진한 주황색 윤곽선으로 표시되어 있습니다.