Skip to main content

이 버전의 GitHub Enterprise는 다음 날짜에 중단되었습니다. 2023-01-18. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 성능 향상, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

종속성 그래프 문제 해결

종속성 그래프가 보고하는 종속성 정보가 예상과 다른 경우 여러 가지 고려해야 할 사항과 확인할 수 있는 사항이 있습니다.

GitHub Enterprise Server에서 보고한 종속성 검색 결과는 다른 도구에서 반환한 결과와 다를 수 있습니다. 여기에는 타당한 이유가 있으며, 이는 GitHub에서 프로젝트에 대한 종속성을 결정하는 방법을 이해하는 데 도움이 됩니다.

종속성 그래프는 매니페스트 및 잠금 파일에서만 종속성을 찾나요?

종속성 그래프에는 사용자 환경에서 명시적으로 선언된 종속성에 대한 정보가 포함됩니다. 즉, 매니페스트 또는 잠금 파일에 지정된 종속성입니다. 종속성 그래프는 일반적으로 매니페스트 파일에서 종속성의 종속성을 확인하여 전이적 종속성이 잠금 파일에 지정되지 않은 경우에도 포함합니다.

종속성 그래프는 “느슨한” 종속성을 포함하지 않습니다. “느슨한” 종속성은 패키지 관리자의 매니페스트 또는 잠금 파일에서 참조되는 것이 아니라 다른 원본에서 복사하여 리포지토리에 직접 또는 보관 파일(예: ZIP 또는 JAR 파일) 내에 체크인되는 개별 파일입니다.

확인: 리포지토리의 매니페스트 또는 잠금 파일에 지정되지 않은 구성 요소에 대해 누락된 종속성인가요?

종속성 그래프가 변수를 사용하여 지정된 종속성을 검색하나요?

종속성 그래프는 GitHub에 푸시될 때 매니페스트를 분석합니다. 따라서 종속성 그래프는 프로젝트의 빌드 환경에 액세스할 수 없으므로 매니페스트 내에서 사용되는 변수를 확인할 수 없습니다. 매니페스트 내에서 변수를 사용하여 이름 또는 보다 일반적으로 종속성 버전을 지정하는 경우 해당 종속성은 종속성 그래프에 포함되지 않습니다.

확인: 매니페스트에서 이름 또는 버전에 변수를 사용하여 누락된 종속성이 선언되었나요?

종속성 그래프 데이터에 영향을 미치는 제한이 있나요?

예, 종속성 그래프에는 두 가지 범주의 제한이 있습니다.

  1. 처리 제한

    처리 제한은 GitHub 내에 표시되는 종속성 그래프에 영향을 주고 Dependabot alerts가 만들어지는 것을 방지합니다.

    크기가 0.5MB를 넘는 매니페스트는 엔터프라이즈 계정에 대해서만 처리됩니다. 다른 계정의 경우 0.5MB를 넘는 매니페스트는 무시되며 Dependabot alerts를 만들지 않습니다.

    기본적으로 GitHub은(는) 리포지토리당 600 매니페스트를 초과하여 처리되지 않습니다. Dependabot alerts는 이 제한을 초과하는 매니페스트에 대해 만들어지지 않습니다. 제한을 늘려야 하는 경우 사이트 관리자에 문의하세요.

    일반적으로 공급업체 종속성에 사용되는 이름의 디렉터리에 저장된 매니페스트 파일은 처리되지 않습니다. 이름이 다음 정규식과 일치하는 디렉터리가 공급업체 종속성 디렉터리로 간주됩니다.

    • (3rd|[Tt]hird)[-_]?[Pp]arty/

    • (^|/)vendors?/

    • ^|/)[Ee]xtern(als?)?/

    • (^|/)[Vv]+endor/

      예제:

    • 타사/종속성/종속성1

    • vendors/dependency1

    • /externals/vendor1/dependency1

  2. 시각화 제한

    시각화 제한은 GitHub의 종속성 그래프에 표시되는 내용에 영향을 미칩니다. 그러나 만들어진 Dependabot alerts에는 영향을 주지 않습니다.

    리포지토리에 대한 종속성 그래프의 종속성 보기에는 100개의 매니페스트만 표시됩니다. 일반적으로 이 숫자는 위에서 설명한 처리 제한보다 훨씬 높기 때문에 적절합니다. 처리 제한이 100을 초과하는 경우 GitHub 내에 표시되지 않는 매니페스트에 대해 Dependabot alerts가 여전히 만들어집니다.

확인: 0.5MB를 초과하는 매니페스트 파일 또는 매니페스트 수가 많은 리포지토리에서 누락된 종속성인가요?

추가 참고 자료