Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

끌어오기 요청에서 종속성 변경 검토

끌어오기 요청에 종속성 변경 내용이 포함된 경우 변경된 내용 및 종속성에 알려진 취약성이 있는지 여부에 대한 요약을 볼 수 있습니다.

종속성 검토는 GitHub Enterprise Server의 조직 소유 리포지토리에 사용할 수 있습니다. 이 기능을 사용하려면 GitHub Advanced Security에 대한 라이선스가 필요합니다. 자세한 내용은 “GitHub Advanced Security 정보”를 참조하세요.

종속성 검토 정보

종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 "파일 변경됨" 탭에서 풍부한 차이로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.

  • 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성
  • 이러한 구성 요소를 사용하는 프로젝트 수.
  • 이러한 종속성에 대한 취약성 데이터.

종속성 검토를 사용하려면 먼저 종속성 그래프를 사용하도록 설정하고 your GitHub Enterprise Server instance를 GitHub.com에 연결해야 합니다. 자세한 내용은 “GitHub Enterprise Server에서 취약한 종속성에 대한 경고 사용”을 참조하세요.

종속성 검토를 사용하면 “왼쪽으로 이동”할 수 있습니다. 제공된 예측 정보를 사용하여 프로덕션에 도달하기 전에 취약한 종속성을 파악할 수 있습니다. 자세한 내용은 “종속성 검토 정보”를 참조하세요.

dependency review action를 사용하여 리포지토리의 끌어오기 요청에 대한 종속성 검토를 적용할 수 있습니다. dependency review action는 끌어오기 요청에서 종속성 변경 내용을 검사하고 새 종속성에 알려진 취약성이 있는 경우 오류를 발생합니다. 이 작업은 두 수정 버전 간의 종속성을 비교하고 차이점을 보고하는 API 엔드포인트에서 지원됩니다.

작업 및 API 엔드포인트에 대한 자세한 내용은 dependency-review-action 설명서 및 API 설명서의 “종속성 검토”를 참조하세요.

dependency review action를 구성하여 catch하려는 종속성 취약성의 유형을 지정하여 요구 사항에 더 적합하도록 구성할 수 있습니다. 자세한 내용은 "종속성 검토 구성"을 참조하세요.

끌어오기 요청에서 종속성 검토

  1. 리포지토리 이름에서 끌어오기 요청 아이콘을 클릭합니다. 끌어오기 요청 탭 선택 1. 끌어오기 요청 목록에서 검토하려는 끌어오기 요청을 클릭합니다. 1. 끌어오기 요청에서 Files changed를 클릭합니다. 끌어오기 요청 변경된 파일 탭

  2. 끌어오기 요청에 많은 파일이 포함된 경우 파일 필터 드롭다운 메뉴를 사용하여 종속성을 기록하지 않는 모든 파일을 축소합니다. 이렇게 하면 종속성 변경 내용에 대한 검토에 더 쉽게 집중할 수 있습니다.

    파일 필터 메뉴 종속성 검토를 사용하면 기본적으로 원본 차이가 렌더링되지 않는 큰 잠금 파일에서 변경된 내용을 좀 더 명확하게 볼 수 있습니다.

    참고: 종속성 검토 서식 있는 차이는 커밋된 정적 JavaScript 파일(예: jquery.js)에 사용할 수 없습니다.

  3. 매니페스트 또는 잠금 파일의 헤더 오른쪽에서 서식 있는 차이 단추를 클릭하여 종속성 검토를 표시합니다.

    서식 있는 차이 단추

  4. 종속성 검토에 나열된 종속성을 확인합니다.

    종속성 검토의 취약성 경고

    취약성이 있는 추가되거나 변경된 종속성은 먼저 심각도에 따라 정렬된 다음 종속성 이름순으로 나열됩니다. 즉, 가장 높은 심각도 종속성은 항상 종속성 검토의 맨 위에 있습니다. 다른 종속성은 종속성 이름에 따라 사전순으로 나열됩니다.

    각 종속성 옆에 있는 아이콘은 이 끌어오기 요청에서 종속성이 추가되었는지(), 업데이트되었는지(), 제거되었는지()를 나타냅니다.

    기타 정보는 다음과 같습니다.

    • 새 종속성, 업데이트된 종속성, 삭제된 종속성의 버전 또는 버전 범위.
    • 종속성의 특정 버전의 경우:
      • 종속성 릴리스의 기간.
      • 이 소프트웨어에 종속된 프로젝트의 수. 이 정보는 종속성 그래프에서 가져옵니다. 종속성의 수를 확인하면 실수로 잘못된 종속성을 추가하는 것을 방지할 수 있습니다.
      • 이 정보를 사용할 수 있는 경우 이 종속성에서 사용하는 라이선스. 이 기능은 특정 라이선스가 있는 코드가 프로젝트에서 사용되는 것을 방지하려는 경우에 유용합니다.

    종속성에 알려진 취약성이 있는 경우 경고 메시지에는 다음이 포함됩니다.

    • 취약성에 대한 간략한 설명.
    • CVE(Common Vulnerabilities and Exposures) 또는 GHSA(GitHub Security Advisories) ID 번호. 이 ID를 클릭하여 취약성에 대해 자세히 알아볼 수 있습니다.
    • 취약성의 심각도.
    • 취약성이 수정된 종속성의 버전. 다른 사용자에 대한 끌어오기 요청을 검토하는 경우 기여자에게 종속성을 패치된 버전 또는 이후 릴리스로 업데이트하도록 요청할 수 있습니다.
  5. 종속성을 변경하지 않는 매니페스트 또는 잠금 파일이 변경되거나, GitHub가 구문 분석할 수 없고 결과적으로 종속성 검토에 표시되지 않는 종속성이 있을 수 있으므로 원본 diff도 검토할 수 있습니다.

    원본 diff 보기로 돌아가려면 단추를 클릭합니다.

    원본 diff 단추