GitHub AE는 현재 제한된 릴리스 상태입니다.

Dependabot 경고 보기 및 업데이트

이 문서의 내용

GitHub AE가 프로젝트에서 안전하지 않은 종속성을 검색하는 경우 리포지토리의 Dependabot 경고 탭에서 세부 정보를 볼 수 있습니다. 그런 다음, 프로젝트를 업데이트하여 경고를 해결하거나 해제할 수 있습니다.

이 기능을 사용할 수 있는 사람

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

리포지토리의 Dependabot alerts 탭에는 열려 있거나 닫혀 있는 모든 Dependabot alerts. 패키지, 에코시스템 또는 매니페스트별로 경고를 필터링할 수 있습니다. 경고 목록을 정렬할 수 있으며, 특정 경고를 클릭하여 세부 정보를 확인할 수 있습니다. 경고를 해제하거나 다시 열 수도 있습니다. 자세한 내용은 "Dependabot 경고 정보"을 참조하세요.

사용자 인터페이스에서 사용할 수 있는 다양한 필터 및 정렬 옵션을 사용하여 Dependabot alerts를 필터링 및 정렬할 수 있습니다. 자세한 내용은 아래에서 “Dependabot alerts 우선 순위 지정”을 참조하세요.

또한 Dependabot 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "보안 경고 감사"을(를) 참조하세요.

Dependabot alerts 우선 순위 지정

GitHub를 사용하면 Dependabot alerts를 수정하는 데 우선 순위를 지정할 수 있습니다.

Dependabot alerts 보기

리포지토리의 Dependabot alerts 탭에서 열려 있고 닫혀 있는 모든 Dependabot alerts 및 해당 Dependabot security updates을(를) 볼 수 있습니다. 드롭다운 메뉴에서 필터를 선택하여 Dependabot alerts을(를) 정렬하고 필터링할 수 있습니다.

조직에서 소유한 리포지토리의 전체 또는 하위 집합에 대한 경고 요약을 보려면 보안 개요를 사용하세요. 자세한 내용은 "보안 개요"을(를) 참조하세요.

  1. enterprise에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 보안 개요의 "취약성 경고" 사이드바에서 Dependabot 을(를) 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리"을 참조하세요. "Dependabot" 탭이 진한 주황색 윤곽선으로 강조 표시된 보안 개요의 스크린샷.

  4. 필요에 따라 경고를 필터링하려면 드롭다운 메뉴에서 필터를 선택한 다음, 적용하려는 필터를 클릭합니다. 검색 창에서 필터를 입력할 수도 있습니다. 경고 필터링 및 정렬에 대한 자세한 내용은 "Dependabot alerts 우선 순위 지정"을 참조하세요.

  5. 보려는 경고를 클릭합니다.

경고 검토 및 수정

모든 종속성에서 보안 약점을 제거해야 합니다. Dependabot에서 종속성의 취약성를 검색하는 경우 프로젝트의 노출 수준을 평가하고 애플리케이션을 보호하기 위해 수행할 수정 단계를 결정해야 합니다.

패치된 버전을 사용할 수 없거나 보안 버전으로 업데이트할 수 없는 경우 Dependabot에서 다음 단계를 결정하는 데 도움이 되는 추가 정보를 공유합니다. Dependabot 경고를 보기 위해 클릭하면 영향을 받는 함수를 포함하여 종속성에 대한 보안 권고의 전체 세부 정보를 볼 수 있습니다. 그러면 코드에서 영향을 받는 함수를 호출하는지 여부를 확인할 수 있습니다. 이 정보는 위험 수준을 추가로 평가하고, 해결 방법을 결정하거나 보안 권고에서 나타내는 위험을 허용할 수 있는지 여부를 결정하는 데 도움이 될 수 있습니다.

취약한 종속성 수정

  1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 “Dependabot alerts 보기”(위 항목)를 참조하세요.

  2. 페이지의 정보를 사용하여 업그레이드할 종속성 버전을 결정하고 매니페스트 또는 잠금 파일에 대한 끌어오기 요청을 보안 버전으로 만들 수 있습니다.

  3. 종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.

Dependabot alerts 해제

팁: 열려 있는 경고만 해제할 수 있습니다.

종속성을 업그레이드하기 위해 광범위한 작업을 예약하거나 경고를 수정할 필요가 없다고 결정한 경우 경고를 해제할 수 있습니다. 이미 평가한 경고를 해제하면 새 경고가 표시될 때 더 쉽게 심사할 수 있습니다.

  1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 "취약한 종속성 보기"(위)를 참조하세요.

  2. “해제” 드롭다운을 선택하고 경고를 해제하는 이유를 클릭합니다. 해제된 미해결 경고는 나중에 다시 열 수 있습니다.

    "해제" 드롭다운과 해당 옵션이 진한 주황색 윤곽선으로 강조 표시된 Dependabot 경고 페이지의 스크린샷.

종료된 경고 보기 및 업데이트

열려 있는 모든 경고를 볼 수 있으며 이전에 해제된 경고를 다시 열 수 있습니다. 이미 수정된 닫힌 경고는 다시 열 수 없습니다.

  1. enterprise에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다. 탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 보안 개요의 "취약성 경고" 사이드바에서 Dependabot 을(를) 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리"을 참조하세요. "Dependabot" 탭이 진한 주황색 윤곽선으로 강조 표시된 보안 개요의 스크린샷.

  4. 종료된 경고만 보려면 종료됨을 클릭합니다.

  5. 보거나 업데이트하려는 경고를 클릭합니다.

  6. 필요에 따라 경고가 해제되었지만 이를 다시 열려는 경우 다시 열기를 클릭합니다. 이미 해결된 경고는 다시 열 수 없습니다.

    닫힌 Dependabot 경고가 표시된 스크린샷입니다. "다시 열기"라는 버튼은 진한 주황색 윤곽선으로 강조 표시됩니다.

Dependabot alerts에 대한 감사 로그 검토

조직의 구성원 이(가) Dependabot alerts과(와) 관련된 작업을 수행하는 경우 감사 로그에서 작업을 검토할 수 있습니다. 로그에 액세스하는 방법에 대한 자세한 내용은 "조직의 감사 로그 검토" 및 "엔터프라이즈의 감사 로그에 액세스"을 참조하세요.

Dependabot alerts에 대한 감사 로그의 이벤트에는 작업을 수행한 사용자, 작업 내용 및 작업이 수행된 시기와 같은 세부 정보가 포함됩니다. Dependabot alerts 작업에 대한 자세한 내용은 "조직의 감사 로그 이벤트" 및 "엔터프라이즈에 대한 감사 로그 이벤트"의 repository_vulnerability_alert 범주를 참조하세요.