종속성 검토 정보
종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 “변경된 파일” 탭에서 서식 있는 Diff로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.
- 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성
- 이러한 구성 요소를 사용하는 프로젝트 수.
- 이러한 종속성에 대한 취약성 데이터.
라이선스 검사, 끌어오기 요청 차단, CI/CD 통합과 같은 일부 추가 기능은 종속성 검토 작업과 함께 사용할 수 있습니다.
라이선스에 GitHub Advanced Security가 포함되어 있는지 확인
엔터프라이즈 설정을 검토하여 엔터프라이즈에 GitHub Advanced Security 라이선스가 있는지 확인할 수 있습니다. 자세한 내용은 "엔터프라이즈에 GitHub Advanced Security 사용"을(를) 참조하세요.
종속성 검토를 위한 필수 구성 요소
-
GitHub Advanced Security에 대한 라이선스("GitHub Advanced Security 요금 청구 정보" 참조)
-
인스턴스에 대해 활성화된 종속성 그래프입니다. 사이트 관리자는 관리 콘솔 또는 관리 셸을 통해 종속성 그래프를 사용하도록 설정할 수 있습니다(“엔터프라이즈에 대해 종속성 그래프 사용” 참조).
-
GitHub Advisory Database에서 취약성을 다운로드하고 동기화하기 위해 GitHub Connect가 활성화되었습니다. 이는 일반적으로 Dependabot 설정의 일부로 구성됩니다(“엔터프라이즈에 Dependabot 사용” 참조).
종속성 검토 활성화 및 비활성화
종속성 검토를 활성화 또는 비활성화하려면 인스턴스에 대한 종속성 그래프를 활성화 또는 비활성화해야 합니다.
자세한 내용은 "엔터프라이즈에 대해 종속성 그래프 사용"을(를) 참조하세요.
GitHub Actions으로 종속성 검토 실행
참고: 종속성 검토 작업은(는) 현재 퍼블릭 베타 버전이며 변경될 수 있습니다.
종속성 검토 작업은 GitHub Enterprise Server 설치에 포함되어 있습니다. GitHub Advanced Security 및 종속성 그래프가 활성화된 모든 리포지토리에 사용할 수 있습니다.
종속성 검토 작업은 종속성 변경에 대한 pull request를 검색하고 새로운 종속성에 알려진 약점이 있는 경우 오류를 발생시킵니다. 이 작업은 두 수정 버전 간의 종속성을 비교하고 차이점을 보고하는 API 엔드포인트에서 지원됩니다.
작업 및 API 엔드포인트에 대한 자세한 내용은 dependency-review-action
설명서와 "종속성 검토에 대한 REST API 엔드포인트" 항목을 참조하세요.
사용자는 GitHub Actions 워크플로를 사용하여 종속성 검토 작업을 실행합니다. GitHub Actions에 대한 실행기를 아직 설정하지 않은 경우 사용자가 워크플로를 실행할 수 있도록 하려면 이 작업을 수행해야 합니다. 리포지토리, 조직 또는 엔터프라이즈 계정 수준에서 자체 호스트 실행기를 프로비저닝할 수 있습니다. 자세한 내용은 “자체 호스트형 실행기 정보” 및 “자체 호스트형 실행기 추가”을 참조하세요.