Skip to main content
설명서에 자주 업데이트를 게시하며 이 페이지의 번역이 계속 진행 중일 수 있습니다. 최신 정보는 영어 설명서를 참조하세요.
All products
코드 보안

이 버전의 GitHub Enterprise는 다음 날짜에 중단되었습니다. 2023-03-15. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 성능 향상, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

Dependabot 경고 정보

이 문서의 내용

GitHub Enterprise Server은 리포지토리가 취약한 종속성를 사용하는 것을 감지하면 Dependabot alerts를 보냅니다.

Dependabot alerts은(는) GitHub Enterprise Server의 리포지토리(사용자 소유 및 조직 소유)에 무료로 사용할 수 있습니다. 엔터프라이즈 관리자가 엔터프라이즈에 기능을 사용하도록 설정하는 경우.

Dependabot alerts 정보

Dependabot alerts는 코드가 안전하지 않은 패키지에 따라 달라지는 것을 알 수 있습니다.

코드가 보안 취약성이 있는 패키지에 종속된 경우 프로젝트 또는 이를 사용하는 사람들에게 다양한 문제가 발생할 수 있습니다. 가능한 한 빨리 패키지의 보안 버전으로 업그레이드해야 합니다.

자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색"을 참조하세요.

안전하지 않은 종속성 검색

Dependabot은 안전하지 않은 종속성을 검색하기 위해 검사를 수행하고 다음과 같은 경우 Dependabot alerts를 보냅니다.

  • 새 권고 데이터는 GitHub.com에서 매시간 GitHub Enterprise Server 인스턴스에 동기화됩니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색"을 참조하세요.

    참고: GitHub에서 검토한 권고만 Dependabot alerts을(를) 트리거합니다.

  • 리포지토리에 대한 종속성 그래프가 변경됩니다. 예를 들어 참가자가 패키지 또는 버전을 변경하기 위해 커밋을 푸시하는 경우 에 따라 달라집니다. 자세한 내용은 "종속성 그래프 정보"을 참조하세요.

참고: Dependabot은(는) 보관된 리포지토리를 검사하지 않습니다.

또한 GitHub는 리포지토리의 기본 분기에 대해 수행한 끌어오기 요청에서 추가하거나 업데이트하거나 제거된 모든 종속성을 검토하고 프로젝트의 보안을 저하시키는 변경 내용에 플래그를 지정할 수 있습니다. 이렇게 하면 취약한 종속성를 코드베이스에 도달한 이후가 아니라 그 이전에 발견 및 처리할 수 있습니다. 자세한 내용은 "끌어오기 요청에서 종속성 변경 검토"을 참조하세요.

Dependabot alerts이(가) 종속성 그래프 의존하므로 Dependabot alerts에서 지원하는 에코시스템은 종속성 그래프 지원하는 에코시스템과 동일합니다. 이러한 에코시스템 목록은 "종속성 그래프 정보"을 참조하세요.

참고: 매니페스트 및 잠금 파일을 최신 상태로 유지하는 것이 중요합니다. 종속성 그래프가 현재 종속성 및 버전을 정확하게 반영하지 않는 경우 사용하는 안전하지 않은 종속성에 대한 경고를 놓칠 수 있습니다. 더 이상 사용하지 않는 종속성에 대한 경고를 받을 수도 있습니다.

Dependabot alerts의 구성

이 기능을 사용하려면 엔터프라이즈 소유자가 GitHub Enterprise Server 인스턴스에 대해 Dependabot alerts을(를) 사용하도록 설정해야 합니다. 자세한 내용은 "엔터프라이즈에 Dependabot 사용"을 참조하세요.

GitHub Enterprise Server이(가) 취약한 종속성을 식별하는 경우, Dependabot 경고를 생성하고 리포지토리의 보안 탭에 및 리포지토리의 종속성 그래프 를 표시합니다. 경고에는 프로젝트에서 영향을 받는 파일에 대한 링크와 고정 버전에 대한 정보가 포함됩니다. GitHub Enterprise Server은(는) 알림 기본 설정에 따라 영향을 받는 리포지토리의 유지 관리자에게 새 경고에 대해 알릴 수도 있습니다. 자세한 내용은 "Dependabot 경고에 대한 알림 구성"을 참조하세요.

Dependabot security updates가 사용하도록 설정된 리포지토리의 경우 매니페스트 또는 잠금 파일을 취약성을 해결하는 최소 버전으로 업데이트하는 끌어오기 요청에 대한 링크가 경고에 포함될 수도 있습니다. 자세한 내용은 "Dependabot 보안 업데이트 정보"을 참조하세요.

참고: GitHub Enterprise Server의 보안 기능이 모든 취약성 포착하는 것은 아닙니다. GitHub Advisory Database를 적극적으로 유지하고 최신 정보를 사용하여 경고를 생성합니다. 그러나 보장된 시간 프레임 내에서 모든 것을 포착하거나 알려진 취약성에 대해 알려줄 수는 없습니다. 이러한 기능은 잠재적 취약성 또는 기타 문제에 대한 각 종속성의 사용자 검토를 대신하지 않으며, 보안 서비스를 참조하거나 필요한 경우 철저한 종속성 검토를 수행하는 것이 좋습니다.

Dependabot alerts에 대한 액세스

리포지토리의 보안 탭에서 특정 프로젝트에 영향을 주는 모든 경고를 볼 수 있습니다. 자세한 내용은 "Dependabot 경고 보기 및 업데이트"을 참조하세요.

기본적으로 새 Dependabot alerts에 대한 영향을 받는 리포지토리에서 관리자 권한을 가진 사용자에게 알립니다.

리포지토리에서 Dependabot alerts에 대한 알림을 받으려면 해당 리포지토리를 조사하고 “모든 활동” 알림을 받도록 구독하거나 “보안 경고”를 포함하도록 사용자 지정 설정을 구성해야 합니다. 자세한 내용은 "알림 구성"을 참조하세요. 알림에 대한 배달 방법 및 알림이 전송되는 빈도를 선택할 수 있습니다. 자세한 내용은 "Dependabot 경고에 대한 알림 구성.

GitHub Advisory Database의 특정 권고에 해당하는 모든 Dependabot alerts를 볼 수도 있습니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색"을 참조하세요.

추가 참고 자료