Skip to main content
설명서에 자주 업데이트를 게시하며 이 페이지의 번역이 계속 진행 중일 수 있습니다. 최신 정보는 영어 설명서를 참조하세요.
All products
코드 보안

Dependabot 보안 업데이트 구성.

이 문서의 내용

Dependabot security updates 또는 수동 끌어오기 요청을 사용하여 취약한 종속성을 쉽게 업데이트할 수 있습니다.

참고: 이 기능을 사용하려면 먼저 사이트 관리자가 GitHub Enterprise Server 인스턴스에 대해 Dependabot updates을(를) 설정해야 합니다. 자세한 내용은 "엔터프라이즈에 Dependabot 사용"을 참조하세요.

Dependabot security updates 구성 정보

리포지토리 수준에서 또는 개인 계정 또는 organization 소유한 모든 리포지토리에 대해 Dependabot security updates을(를) 사용하도록 설정할 수 있습니다. Dependabot alerts 및 종속성 그래프를 사용하는 리포지토리에 대해 Dependabot security updates를 사용하도록 설정할 수 있습니다. 자세한 내용은 "Dependabot 보안 업데이트 정보"을 참조하세요.

개별 리포지토리 또는 개인 계정이나 조직이 소유한 모든 리포지토리에 대해 Dependabot security updates를 사용하지 않도록 설정할 수 있습니다.

지원되는 리포지토리

개인 계정 또는 organization Dependabot security updates에 대해 새 리포지토리를 자동으로 사용하도록 설정한 경우 GitHub에서 새로 만든 리포지토리에 대해 Dependabot security updates을(를) 자동으로 사용하도록 설정합니다. 자세한 내용은 "리포지토리에 대한 Dependabot security updates 관리"를 참조하세요.

보안 업데이트를 사용하도록 설정된 리포지토리의 포크를 만드는 경우 GitHub는 포크에 대해 Dependabot security updates을(를) 자동으로 사용하지 않도록 설정합니다. 그런 다음 특정 포크에서 Dependabot security updates을(를) 사용할지 여부를 결정할 수 있습니다.

보안 업데이트가 리포지토리에 대해 사용하도록 설정되지 않았고 그 이유를 모르는 경우 먼저 아래 절차 섹션에 제공된 지침을 사용하여 사용하도록 설정해 봅니다. 그래도 보안 업데이트가 작동하지 않으면 사이트 관리자에 문의할 수 있습니다.

리포지토리에 대한 Dependabot security updates 관리

개인 계정 또는 organization 소유한 모든 적격 리포지토리에 대해 Dependabot security updates을(를) 사용하거나 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 "개인 계정에 대한 보안 및 분석 설정 관리" 또는 "조직의 보안 및 분석 설정 관리.

개별 리포지토리에 대해 Dependabot security updates을(를) 사용하거나 사용하지 않도록 설정할 수도 있습니다.

개별 리포지토리에 Dependabot security updates 사용 또는 사용 안 함

  1. GitHub Enterprise Server 인스턴스에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 설정을 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭은 진한 주황색 윤곽선으로 강조 표시됩니다.

  2. 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.

  3. “코드 보안 및 분석” 아래 “Dependabot 보안 업데이트” 오른쪽에 있는 사용을 클릭하여 기능을 사용하도록 설정하거나 사용 안 함을 클릭하여 사용하지 않도록 설정합니다.

구성 파일을 사용하여 기본 동작 재정의

리포지토리에 dependabot.yml 파일을 추가하여 Dependabot security updates의 기본 동작을 재정의할 수 있습니다. 자세한 내용은 "dependabot.yml 파일에 대한 구성 옵션"을 참조하세요.

보안 업데이트만 필요하고 버전 업데이트를 제외하려는 경우 지정된 package-ecosystem에 대한 버전 업데이트를 방지하기 위해 open-pull-requests-limit0으로 설정할 수 있습니다. 자세한 내용은 "dependabot.yml 파일에 대한 구성 옵션"을 참조하세요.

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

보안 업데이트에 사용할 수 있는 구성 옵션에 대한 자세한 내용은 "dependabot.yml 파일에 대한 구성 옵션"의 표를 참조하세요.

추가 참고 자료