Skip to main content

Dependabot 경고 보기 및 업데이트

GitHub Enterprise Server가 프로젝트에서 안전하지 않은 종속성을 검색하는 경우 리포지토리의 Dependabot 경고 탭에서 세부 정보를 볼 수 있습니다. 그런 다음, 프로젝트를 업데이트하여 경고를 해결하거나 해제할 수 있습니다.

Who can use this feature

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

참고: 이 기능을 사용하려면 먼저 사이트 관리자가 your GitHub Enterprise Server instance에 대해 Dependabot updates을(를) 설정해야 합니다. 자세한 내용은 “엔터프라이즈에 Dependabot 사용”을 참조하세요.

리포지토리의 Dependabot alerts 탭에는 열려 있고 닫힌 모든 Dependabot alerts 및 해당 Dependabot security updates이(가) 나열됩니다. 는 패키지, 에코시스템 또는 매니페스트별로 경고를 필터링할 수 있습니다. 경고 목록을 정렬할 수 있으며, 특정 경고를 클릭하여 세부 정보를 확인할 수 있습니다. 경고를 해제하거나 다시 열 수도 있습니다. 자세한 내용은 “Dependabot alerts 정보”를 참조하세요.

Dependabot alerts 및 종속성 그래프를 사용하는 모든 리포지토리에 대해 자동 보안 업데이트를 사용하도록 설정할 수 있습니다. 자세한 내용은 “Dependabot security updates 정보”를 참조하세요.

리포지토리의 취약한 종속성에 대한 업데이트 정보

GitHub Enterprise Server은 코드베이스에서 알려진 보안 위험이 있는 종속성을 사용하고 있음을 감지하면 Dependabot alerts를 생성합니다. Dependabot security updates가 사용하도록 설정된 리포지토리의 경우 GitHub Enterprise Server이 기본 분기에서 취약한 종속성을 감지하면 Dependabot에서 이를 해결하기 위한 끌어오기 요청을 만듭니다. 끌어오기 요청은 취약성을 방지하는 데 필요한 최소한의 보안 버전으로 종속성을 업그레이드합니다.

각 Dependabot 경고에는 고유한 숫자 식별자가 있으며, Dependabot alerts 탭에는 검색된 모든 취약성에 대한 경고가 나열됩니다. 레거시 Dependabot alerts는 취약성을 종속성별로 그룹화하고 단일 경고를 종속성별로 생성했습니다. 레거시 Dependabot 경고로 이동하면 해당 패키지에 대해 필터링된 Dependabot alerts 탭으로 리디렉션됩니다.

사용자 인터페이스에서 사용할 수 있는 다양한 필터 및 정렬 옵션을 사용하여 Dependabot alerts을 필터링하고 정렬할 수 있습니다. 자세한 내용은 아래에서 “Dependabot alerts 우선 순위 지정”을 참조하세요.

Dependabot alerts 우선 순위 지정

GitHub를 사용하면 Dependabot alerts를 수정하는 데 우선 순위를 지정할 수 있습니다.

필터를 검색 창에 key:value 쌍으로 입력하여 Dependabot alerts를 정렬하고 필터링할 수 있습니다.

옵션Description예제
ecosystem선택한 에코시스템에 대한 경고 표시ecosystem:npm을 사용하여 npm에 대해 Dependabot alerts 표시
is상태에 따라 경고 표시is:open을 사용하여 미해결 경고 표시
manifest선택한 매니페스트에 대한 경고 표시manifest:webwolf/pom.xml을 사용하여 webwolf 애플리케이션의 pom.xml 파일에 경고 표시
package선택한 패키지에 대한 경고 표시package:django를 사용하여 django에 대한 경고 표시
resolution선택한 해결 상태의 경고 표시resolution:no-bandwidth를 사용하여 리소스 부족으로 인해 이전에 대기된 경고 또는 수정 시간 표시
repo관련된 리포지토리에 따라 경고 표시
이 필터는 보안 개요에서만 사용할 수 있습니다. 자세한 내용은 “보안 개요 정보”를 참조하세요.
repo:octocat-repo를 사용하여 리포지토리에서 호출한 octocat-repo에 경고 표시
severity심각도 수준에 따라 경고 표시severity:high를 사용하여 심각도가 높은 경고 표시

검색 창을 통해 사용할 수 있는 필터 외에도 경고 목록 맨 위에 있는 드롭다운 메뉴를 사용하여 Dependabot alerts를 정렬하고 필터링할 수 있습니다.

또한 검색 창을 사용하면 경고 및 관련 보안 권고를 전체 텍스트로 검색할 수 있습니다. 보안 권고 이름 또는 설명의 일부를 검색하여 해당 보안 권고와 관련된 리포지토리의 경고를 반환할 수 있습니다. 예를 들어 yaml.load() API could execute arbitrary code를 검색하면 검색 문자열이 권고 설명에 표시될 때 “PyYAML에서 임의 코드 실행으로 이어지는 YAML 문자열을 안전하지 않게 역직렬화”에 연결된 Dependabot alerts가 반환됩니다.

목록 맨 위에 있는 드롭다운 메뉴에서 필터를 선택한 다음 적용할 필터를 클릭할 수 있습니다. Dependabot alerts 탭의 필터 및 정렬 메뉴에 대한 스크린샷

Dependabot alerts 보기

  1. your GitHub Enterprise Server instance에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 Security를 클릭합니다. 보안 탭 1. 보안 사이드바에서 Dependabot alerts 를 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 “리포지토리에 대한 보안 및 분석 설정 관리”를 참조하세요.Dependabot alerts 탭
  2. 필요에 따라 경고를 필터링하려면 드롭다운 메뉴에서 필터를 선택한 다음, 적용하려는 필터를 클릭합니다. 검색 창에서 필터를 입력할 수도 있습니다. 경고 필터링 및 정렬에 대한 자세한 내용은 "Dependabot alerts의 우선 순위 지정"을 참조하세요. Dependabot alerts 탭의 필터 및 정렬 메뉴 스크린샷
  3. 보려는 경고를 클릭합니다. 경고 목록에서 선택한 경고

에 대한 링크를 보여 주는 스크린샷

경고 검토 및 수정

모든 종속성에서 보안 약점을 제거해야 합니다. Dependabot에서 종속성의 취약성를 검색하는 경우 프로젝트의 노출 수준을 평가하고 애플리케이션을 보호하기 위해 수행할 수정 단계를 결정해야 합니다.

종속성의 패치된 버전을 사용할 수 있는 경우 Dependabot 경고에서 이 종속성을 직접 업데이트하는 Dependabot 끌어오기 요청을 생성할 수 있습니다. Dependabot security updates을(를) 사용하도록 설정한 경우 끌어오기 요청이 Dependabot 경고에 연결될 수 있습니다.

패치된 버전을 사용할 수 없거나 보안 버전으로 업데이트할 수 없는 경우 Dependabot에서 다음 단계를 결정하는 데 도움이 되는 추가 정보를 공유합니다. Dependabot 경고를 보기 위해 클릭하면 영향을 받는 함수를 포함하여 종속성에 대한 보안 권고의 전체 세부 정보를 볼 수 있습니다. 그러면 코드에서 영향을 받는 함수를 호출하는지 여부를 확인할 수 있습니다. 이 정보는 위험 수준을 추가로 평가하고, 해결 방법을 결정하거나 보안 권고에서 나타내는 위험을 허용할 수 있는지 여부를 결정하는 데 도움이 될 수 있습니다.

취약한 종속성 수정

  1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 “Dependabot alerts 보기”(위 항목)를 참조하세요.

  2. Dependabot security updates가 사용하도록 설정된 경우 종속성을 수정하는 끌어오기 요청에 대한 링크가 있을 수 있습니다. 또는 경고 세부 정보 페이지의 위쪽에서 Dependabot 보안 업데이트 만들기를 클릭하여 끌어오기 요청을 만들 수 있습니다. Dependabot 보안 업데이트 단추 만들기

  3. 필요에 따라 Dependabot security updates를 사용하지 않는 경우 페이지의 정보를 사용하여 업그레이드할 종속성 버전을 결정하고 해당 종속성을 보안 버전으로 업데이트하는 끌어오기 요청을 만들 수 있습니다.

  4. 종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.

    Dependabot에서 발생한 각 끌어오기 요청에는 Dependabot을(를) 제어하는 데 사용할 수 있는 명령에 대한 정보가 포함되어 있습니다. 자세한 내용은 "종속성 업데이트에 대한 끌어오기 요청 관리"를 참조하세요.

Dependabot alerts 해제

팁: 열려 있는 경고만 해제할 수 있습니다.

종속성을 업그레이드하기 위해 광범위한 작업을 예약하거나 경고를 수정할 필요가 없다고 결정한 경우 경고를 해제할 수 있습니다. 이미 평가한 경고를 해제하면 새 경고가 표시될 때 더 쉽게 심사할 수 있습니다.

  1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 "취약한 종속성 보기"(위)를 참조하세요.
  2. “해제” 드롭다운을 선택하고 경고를 해제하는 이유를 클릭합니다. 해제된 미해결 경고는 나중에 다시 열 수 있습니다. “해제” 드롭다운을 통해 경고를 해제하는 이유 선택

종료된 경고 보기 및 업데이트

열려 있는 모든 경고를 볼 수 있으며 이전에 해제된 경고를 다시 열 수 있습니다. 이미 수정된 닫힌 경고는 다시 열 수 없습니다.

  1. your GitHub Enterprise Server instance에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 Security를 클릭합니다. 보안 탭 1. 보안 사이드바에서 Dependabot alerts 를 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 “리포지토리에 대한 보안 및 분석 설정 관리”를 참조하세요.Dependabot alerts 탭

  2. 종료된 경고만 보려면 종료됨을 클릭합니다. “닫힘” 옵션을 보여 주는 스크린샷

  3. 보거나 업데이트하려는 경고를 클릭합니다. 강조 표시된 dependabot 경고를 보여 주는 스크린샷

  4. 필요에 따라 경고가 해제되었지만 이를 다시 열려는 경우 다시 열기를 클릭합니다. 이미 해결된 경고는 다시 열 수 없습니다.

    참고: GitHub Enterprise Server 3.5.0, 3.5.1, 3.5.2 및 3.5.3에서는 이 기능을 사용할 수 없습니다. 이 기능은 3.5.4 이상에서 사용할 수 있습니다. 업그레이드에 대한 자세한 내용은 사이트 관리자에게 문의하세요.

    사용 중인 GitHub Enterprise Server의 버전을 찾는 방법에 대한 자세한 내용은 “GitHub Docs의 버전 정보”를 참조하세요.

    "다시 열기" 단추를 보여 주는 스크린샷

Dependabot alerts에 대한 감사 로그 검토

조직의 구성원 또는 엔터프라이즈 이(가) Dependabot alerts과 관련된 작업을 수행하는 경우 감사 로그에서 작업을 검토할 수 있습니다. 로그에 액세스하는 방법에 대한 자세한 내용은 "조직의 감사 로그 검토" 및 "엔터프라이즈의 감사 로그 액세스"를 참조하세요.

Dependabot alerts에 대한 감사 로그의 이벤트에는 누가 작업을 수행했는지, 작업이 무엇이었는지, 작업이 수행된 시기와 같은 세부 정보가 포함됩니다. Dependabot alerts 작업에 대한 자세한 내용은 "조직의 감사 로그 검토" 및 "엔터프라이즈에 대한 감사 로그 이벤트"의 범주를 참조 repository_vulnerability_alert 하세요.