Note
사이트 관리자가 먼저 GitHub Enterprise Server 인스턴스의 Dependabot updates를 설정해야 이 기능을 사용할 수 있습니다. 자세한 내용은 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.
엔터프라이즈 소유자가 엔터프라이즈 수준에서 정책을 설정한 경우 Dependabot updates를 사용하거나 사용하지 않도록 설정하지 못할 수 있습니다. 자세한 내용은 엔터프라이즈에 대한 코드 보안 및 분석을 위한 정책 적용을(를) 참조하세요.
Dependabot version updates 정보
Dependabot은 종속성을 유지 관리하지 않습니다. Dependabot을 사용하여 리포지토리가 종속된 패키지 및 애플리케이션의 최신 릴리스로 최신 상태를 자동으로 유지하도록 할 수 있습니다.
지원되는 리포지토리 및 에코시스템에 대한 자세한 내용은 Dependabot 지원 에코시스템 및 리포지토리을(를) 참조하세요.
dependabot.yml
구성 파일을 리포지토리로 체크 인하여 Dependabot version updates를 사용하도록 설정합니다. 구성 파일은 리포지토리에 저장된 매니페스트 또는 다른 패키지 정의 파일의 위치를 지정합니다. Dependabot은 이 정보를 사용하여 오래된 패키지와 애플리케이션을 확인합니다. Dependabot은 종속성의 의미 체계 버전 관리(semver)를 보고 새 버전의 종속성이 있는지 확인하여 해당 버전으로 업데이트할지 여부를 결정합니다. 특정 패키지 관리자의 경우 Dependabot version updates에서 벤더링도 지원합니다. 벤더링된(또는 캐시된) 종속성은 매니페스트에서 참조되는 대신 리포지토리의 특정 디렉터리에 체크 인된 종속성입니다. 벤더링된 종속성은 패키지 서버를 사용할 수 없는 경우에도 빌드 타임에 사용할 수 있습니다. 벤더링된 종속성의 새 버전을 확인하고 필요한 경우 업데이트하도록 Dependabot version updates를 구성할 수 있습니다.
오래된 종속성이 확인되면 Dependabot은 매니페스트를 최신 버전의 종속성으로 업데이트하기 위한 끌어오기 요청을 수행합니다. 벤더링된 종속성의 경우 Dependabot은 오래된 종속성을 새 버전으로 직접 바꾸기 위한 끌어오기 요청을 수행합니다. 테스트를 통과했는지 확인하고 끌어오기 요청 요약에 포함된 변경 로그 및 릴리스 정보를 검토한 다음, 병합합니다. 자세한 내용은 Dependabot 버전 업데이트 구성을(를) 참조하세요.
_보안 업데이트_를 사용하도록 설정하면 Dependabot에서 취약한 종속성을 업데이트하기 위한 끌어오기 요청도 수행합니다. 자세한 내용은 Dependabot 보안 업데이트 정보을(를) 참조하세요.
Dependabot에서 끌어오기 요청이 발생하면 이러한 끌어오기 요청은 보안 또는 버전 업데이트를 위한 것일 수 있습니다.
- Dependabot security updates 은(는) 알려진 취약성으로 종속성을 업데이트하는 데 도움이 되는 자동화된 끌어오기 요청입니다.
- Dependabot version updates 은(는) 취약성이 없더라도 종속성을 업데이트된 상태로 유지하는 자동화된 끌어오기 요청입니다. 버전 업데이트 상태를 확인하려면 리포지토리의 인사이트 탭으로 이동한 다음 종속성 그래프 및 Dependabot(으)로 이동합니다.
Dependabot은(는) 커밋 서명이 리포지토리에 대한 요구 사항이 아닌 경우에도 기본적으로 자체 커밋에 서명합니다. 인증 커밋에 대한 자세한 내용은 커밋 서명 확인 정보을(를) 참조하세요.
Dependabot version updates 및 Dependabot security updates를 GitHub Enterprise Server에서 실행하려면 Dependabot updates을(를) 사용하도록 설정하기 전에 자체 호스팅 실행기에서 GitHub Actions을(를) 사용하도록 을(를) 구성해야 합니다.GitHub Actions가 필요합니다. 자세한 내용은 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.
Dependabot 끌어오기 요청 빈도
구성 파일을 통해 각 에코시스템에서 새 버전을 확인하는 빈도를 지정합니다(매일, 매주 또는 매월).
버전 업데이트를 처음 사용하면 오래된 종속성이 많을 수 있으며 일부 종속성은 최신 버전보다 많이 이전 버전일 수 있습니다. 사용하면 Dependabot은 즉시 오래된 종속성을 확인합니다. 업데이트를 구성하는 매니페스트 파일의 수에 따라 구성 파일을 추가한 후 몇 분 내에 버전 업데이트에 대한 새 끌어오기 요청이 표시될 수 있습니다. Dependabot은 구성 파일의 후속 변경 내용에 대한 업데이트도 실행합니다.
끌어오기 요청을 관리하기 쉽고 검토하기 쉽도록 Dependabot은 최대 5개의 끌어오기 요청을 발생시키고 종속성을 최신 버전으로 가져오기 시작합니다. 다음으로 예약된 업데이트 전에 첫 번째 끌어오기 요청 중 일부를 병합하는 경우 다음 업데이트에서 나머지 끌어오기 요청이 최대치까지 열립니다. open-pull-requests-limit
구성 옵션을 설정하여 열려 있는 끌어오기 요청의 최대 수를 변경할 수 있습니다.
표시되는 끌어오기 요청 수를 더 줄이기 위해 groups
구성 옵션을 사용하여 종속성 집합을 함께 그룹화할 수 있습니다(패키지 에코시스템당). 그런 다음 Dependabot은(는) 그룹에서 가능한 한 많은 종속성을 동시에 최신 버전으로 업데이트하는 단일 끌어오기 요청을 발생합니다. 자세한 내용은 Dependabot 버전 업데이트에 대한 끌어오기 요청 만들기 최적화을(를) 참조하세요.
보안 업데이트를 사용하도록 설정한 경우 보안 업데이트를 위한 추가 끌어오기 요청이 표시되는 경우도 있습니다. 이 끌어오기 요청은 기본 분기에 대한 종속성과 관련된 Dependabot 경고로 트리거됩니다. Dependabot에서 취약한 종속성을 업데이트하기 위한 끌어오기 요청을 자동으로 수행합니다.
구성이 잘못되었거나 호환되지 않는 버전으로 인해 Dependabot 실행이 실패한 경우가 있습니다. 15 번의 실행이 실패한 후 Dependabot version updates은(는) 종속성 그래프 업데이트에 대한 검사를 수동으로 트리거하거나 후속 예약 실행을 건너뜁니다. Dependabot security updates은(는) 평소와 같이 실행됩니다.
Dependabot updates
자동 비활성화 정보
리포지토리의 유지 관리자가 Dependabot 끌어오기 요청과 상호 작용을 중지하면 Dependabot이(가) 일시적으로 업데이트를 일시 중지하고 알려 줍니다. Dependabot 업데이트 끌어오기 요청이 더 이상 생성되지 않음을(를) 참고하세요.
Dependabot 버전 업데이트 알림 정보
GitHub에서 알림을 필터링하여 Dependabot이 만든 끌어오기 요청에 대한 알림을 표시할 수 있습니다. 자세한 내용은 받은 편지함에서 알림 관리을(를) 참조하세요.