종속성 검토 정보
종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 “변경된 파일” 탭에서 서식 있는 Diff로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.
- 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성
- 이러한 구성 요소를 사용하는 프로젝트 수.
- 이러한 종속성에 대한 취약성 데이터.
라이선스 검사, 끌어오기 요청 차단, CI/CD 통합과 같은 일부 추가 기능은 종속성 검토 작업과 함께 사용할 수 있습니다.
라이선스에 GitHub Advanced Security가 포함되어 있는지 확인
엔터프라이즈 설정을 검토하여 엔터프라이즈에 GitHub Advanced Security 라이선스가 있는지 확인할 수 있습니다. 자세한 내용은 "엔터프라이즈에 GitHub Advanced Security 사용"을(를) 참조하세요.
종속성 검토를 위한 필수 구성 요소
-
GitHub Advanced Security에 대한 라이선스("GitHub Advanced Security 요금 청구 정보" 참조)
-
인스턴스에 대해 활성화된 종속성 그래프입니다. 사이트 관리자는 관리 콘솔 또는 관리 셸을 통해 종속성 그래프를 사용하도록 설정할 수 있습니다(“엔터프라이즈에 대해 종속성 그래프 사용” 참조).
-
GitHub Advisory Database에서 취약성을 다운로드하고 동기화하기 위해 GitHub Connect가 활성화되었습니다. 이는 일반적으로 Dependabot 설정의 일부로 구성됩니다(“엔터프라이즈에 Dependabot 사용” 참조).
종속성 검토 활성화 및 비활성화
종속성 검토를 활성화 또는 비활성화하려면 인스턴스에 대한 종속성 그래프를 활성화 또는 비활성화해야 합니다.
자세한 내용은 "엔터프라이즈에 대해 종속성 그래프 사용"을(를) 참조하세요.
GitHub Actions으로 종속성 검토 실행
Note
종속성 검토 작업은 현재 베타 버전이며 변경될 수 있습니다.
종속성 검토 작업은 GitHub Enterprise Server 설치에 포함되어 있습니다. GitHub Advanced Security 및 종속성 그래프가 활성화된 모든 리포지토리에 사용할 수 있습니다.
종속성 검토 작업은 종속성 변경에 대한 pull request를 검색하고 새로운 종속성에 알려진 약점이 있는 경우 오류를 발생시킵니다. 이 작업은 두 수정 버전 간의 종속성을 비교하고 차이점을 보고하는 API 엔드포인트에서 지원됩니다.
작업 및 API 엔드포인트에 대한 자세한 내용은 dependency-review-action 설명서와 "종속성 검토에 대한 REST API 엔드포인트" 항목을 참조하세요.
사용자는 GitHub Actions 워크플로를 사용하여 종속성 검토 작업을 실행합니다. GitHub Actions에 대한 실행기를 아직 설정하지 않은 경우 사용자가 워크플로를 실행할 수 있도록 하려면 이 작업을 수행해야 합니다. 리포지토리, 조직 또는 엔터프라이즈 계정 수준에서 자체 호스트 실행기를 프로비저닝할 수 있습니다. 자세한 내용은 “자체 호스트형 실행기 정보” 및 “자체 호스트형 실행기 추가”을 참조하세요.