Skip to main content

Dependabot 경고 보기 및 업데이트

GitHub AE가 프로젝트에서 안전하지 않은 종속성을 검색하는 경우 리포지토리의 Dependabot 경고 탭에서 세부 정보를 볼 수 있습니다. 그런 다음, 프로젝트를 업데이트하여 경고를 해결하거나 해제할 수 있습니다.

Who can use this feature

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

참고: Dependabot 보안 및 버전 업데이트는 현재 퍼블릭 베타로 제공되며 변경될 수 있습니다.

리포지토리의 Dependabot alerts 탭에는 열려 있고 닫힌 모든 Dependabot alerts이(가) 나열됩니다. 경고 목록을 정렬할 수 있으며, 특정 경고를 클릭하여 세부 정보를 확인할 수 있습니다. 경고를 해제하거나 다시 열 수도 있습니다. 자세한 내용은 “Dependabot alerts 정보”를 참조하세요.

Dependabot alerts 보기

  1. your enterprise에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 Security를 클릭합니다. 보안 탭 1. 보안 사이드바에서 Dependabot alerts 를 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 “리포지토리에 대한 보안 및 분석 설정 관리”를 참조하세요.Dependabot alerts 탭
  2. 보려는 경고를 클릭합니다. 경고 목록에서 선택한 경고 에 대한 링크를 보여 주는 스크린샷

경고 검토 및 수정

모든 종속성에서 보안 약점을 제거해야 합니다. Dependabot에서 종속성의 취약성를 검색하는 경우 프로젝트의 노출 수준을 평가하고 애플리케이션을 보호하기 위해 수행할 수정 단계를 결정해야 합니다.

종속성의 패치된 버전을 사용할 수 있는 경우 Dependabot 경고에서 이 종속성을 직접 업데이트하는 Dependabot 끌어오기 요청을 생성할 수 있습니다. Dependabot security updates을(를) 사용하도록 설정한 경우 끌어오기 요청이 Dependabot 경고에 연결될 수 있습니다.

패치된 버전을 사용할 수 없거나 보안 버전으로 업데이트할 수 없는 경우 Dependabot에서 다음 단계를 결정하는 데 도움이 되는 추가 정보를 공유합니다. Dependabot 경고를 보기 위해 클릭하면 영향을 받는 함수를 포함하여 종속성에 대한 보안 권고의 전체 세부 정보를 볼 수 있습니다. 그러면 코드에서 영향을 받는 함수를 호출하는지 여부를 확인할 수 있습니다. 이 정보는 위험 수준을 추가로 평가하고, 해결 방법을 결정하거나 보안 권고에서 나타내는 위험을 허용할 수 있는지 여부를 결정하는 데 도움이 될 수 있습니다.

취약한 종속성 수정

  1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 “Dependabot alerts 보기”(위 항목)를 참조하세요.

  2. 페이지의 정보를 사용하여 업그레이드할 종속성 버전을 결정하고 매니페스트 또는 잠금 파일에 대한 끌어오기 요청을 보안 버전으로 만들 수 있습니다.

  3. 종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.

Dependabot alerts 해제

팁: 열려 있는 경고만 해제할 수 있습니다.

종속성을 업그레이드하기 위해 광범위한 작업을 예약하거나 경고를 수정할 필요가 없다고 결정한 경우 경고를 해제할 수 있습니다. 이미 평가한 경고를 해제하면 새 경고가 표시될 때 더 쉽게 심사할 수 있습니다.

  1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 "취약한 종속성 보기"(위)를 참조하세요.
  2. “해제” 드롭다운을 선택하고 경고를 해제하는 이유를 클릭합니다. “해제” 드롭다운을 통해 경고를 해제하는 이유 선택

Dependabot alerts에 대한 감사 로그 검토

조직의 구성원 또는 엔터프라이즈 이(가) Dependabot alerts과 관련된 작업을 수행하는 경우 감사 로그에서 작업을 검토할 수 있습니다. 로그에 액세스하는 방법에 대한 자세한 내용은 "조직의 감사 로그 검토" 및 "엔터프라이즈의 감사 로그 액세스"를 참조하세요.

Dependabot alerts에 대한 감사 로그의 이벤트에는 누가 작업을 수행했는지, 작업이 무엇이었는지, 작업이 수행된 시기와 같은 세부 정보가 포함됩니다. Dependabot alerts 작업에 대한 자세한 내용은 "조직의 감사 로그 검토" 및 "엔터프라이즈에 대한 감사 로그 이벤트"의 범주를 참조 repository_vulnerability_alert 하세요.