GitHub 사전 설정 규칙을 사용해 Depenabout 경고 우선 순위 지정

GitHub 사전 설정을(를) 사용할 수 있습니다. 이것은 GitHub이(가) 큐레이팅한 규칙으로, 이를 통해 npm 종속성에 대한 저영향 개발 경고를 자동으로 해제할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

  • 조직 소유자
  • 보안 관리자
  • 관리자 권한이 있는 사용자(리포지토리에 대한 GitHub 사전 설정를 활성화하고, 비활성화하고, 볼 수 있습니다.)

이 문서의 내용

GitHub 사전 설정

정보

Dismiss low impact issues for development-scoped dependencies 규칙은 GitHub 사전 설정으로, 개발에 사용된 npm 종속성에서 발견된 특정 유형의 약점을 자동 해제합니다. 이러한 경고는 대부분의 개발자에게 거짓 경보처럼 느껴지는 사례를 관련 약점으로 다룹니다.

  • 개발자(비프로덕션이나 런타임) 환경에서는 악용될 가능성이 낮습니다.
  • 리소스 관리, 프로그래밍 및 논리 또는 정보 공개 문제와 관련될 수 있습니다.
  • 최악의 경우, 느린 빌드 또는 장기 실행 테스트와 같은 제한된 효과가 발생합니다.
  • 프로덕션의 이슈를 나타내지 않습니다.

Note

영향이 적은 개발 경고의 자동 해제는 현재 npm에 대해서만 지원됩니다.

Dismiss low impact issues for development-scoped dependencies 규칙에는 리소스 관리, 프로그래밍, 논리, 정보 공개 문제와 관련된 약점이 포함되어 있습니다. 자세한 내용은 "Dismiss low impact issues for development-scoped dependencies 규칙에서 사용하는 공개 CWU"를 참조하세요.

이러한 낮은 영향 경고를 필터링하는 경우 잠재적으로 위험 수준이 높은 개발 범위 경고 누락에 대해 걱정할 필요 없이 중요한 경고에 집중할 수 있습니다.

Dismiss low impact issues for development-scoped dependencies 규칙은 기본적으로 퍼블릭 리포지토리에서는 사용, 프라이빗 리포지토리에서는 사용 안 함으로 설정됩니다. 프라이빗 리포지토리의 관리자는 해당 리포지토리에 대해 규칙을 사용하도록 설정함으로써 옵트인할 수 있습니다.

프라이빗 리포지토리에 Dismiss low impact issues for development-scoped dependencies 규칙 사용

엔터프라이즈 소유자가 리포지토리에서 Dependabot alerts을(를) 사용하거나 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 "엔터프라이즈에 Dependabot 사용" 항목을 참조하세요.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings(설정)를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.

  4. "Dependabot alerts"에서 "Dependabot 규칙"에 가까운 을 클릭하세요.

    리포지토리 "코드 보안 및 분석" 페이지 스크린샷. 기어 아이콘은 주황색 윤곽선으로 강조 표시됩니다.

  5. "GitHub 사전 설정"의 오른쪽에 있는 "개발 범위 종속성에 대한 낮은 영향 문제 해제"에서 .을 클릭합니다.

  6. "상태"에서 드롭다운 메뉴를 선택하고 "사용"을 클릭합니다.

  7. 규칙 저장을 클릭합니다.

Dismiss low impact issues for development-scoped dependencies 규칙에서 사용하는 공개 CWU

ecosystem:npmscope:development 경고 메타데이터와 함께 다음 GitHub큐레이팅된 CWU(Common Weakness Enumerations)를 사용하여 Dismiss low impact issues for development-scoped dependencies 규칙에 대한 낮은 영향 경고를 필터링합니다. 해당 목록과 기본 제공 규칙에서 다루는 약점 패턴을 정기적으로 개선합니다.

리소스 관리 이슈

  • CWE-400 제어되지 않은 리소스 사용량
  • CWE-770 제한 또는 제한 없이 리소스 할당
  • CWE-409 압축률이 높은 데이터의 부적절한 처리(데이터 증폭)
  • CWE-908 초기화되지 않은 리소스 사용
  • CWE-1333 비효율적인 정규식 복잡성
  • CWE-835 연결할 수 없는 종료 조건이 있는 루프('무한 루프')
  • CWE-674 제어되지 않은 재귀
  • CWE-1119 무조건적 분기의 과도한 사용

프로그래밍 및 논리 오류

  • CWE-185 잘못된 정규식
  • CWE-754 비정상적이거나 예외적인 조건에 대한 부적절한 검사
  • CWE-755 예외 조건의 부적절한 처리
  • CWE-248 확인할 수 없는 예외
  • CWE-252 검사하지 않은 반환 값
  • CWE-391 검사하지 않은 오류 조건
  • CWE-696 잘못된 동작 순서
  • CWE-1254 잘못된 비교 논리 세분성
  • CWE-665 부적절한 초기화
  • CWE-703 예외 조건의 부적절한 검사 또는 처리
  • CWE-178 대/소문자 구분의 부적절한 처리

정보 공개 이슈

  • CWE-544 누락된 표준 오류 처리 메커니즘
  • CWE-377 안전하지 않은 임시 파일
  • CWE-451 중요 정보에 대한 UI(사용자 인터페이스) 허위 표시
  • CWE-668 잘못된 Sphere에 리소스 노출