리포지토리의 Dependabot alerts 탭에는 열려 있거나 닫혀 있는 모든 Dependabot alerts. 패키지, 에코시스템 또는 매니페스트별로 경고를 필터링할 수 있습니다. 경고 목록을 정렬할 수 있으며, 특정 경고를 클릭하여 세부 정보를 확인할 수 있습니다. 경고를 해제하거나 다시 열 수도 있습니다. 자세한 내용은 "Dependabot 경고 정보"을 참조하세요.
사용자 인터페이스에서 사용할 수 있는 다양한 필터 및 정렬 옵션을 사용하여 Dependabot alerts를 필터링 및 정렬할 수 있습니다. 자세한 내용은 아래에서 “Dependabot alerts 우선 순위 지정”을 참조하세요.
또한 Dependabot 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 "보안 경고 감사"을(를) 참조하세요.
Dependabot alerts 우선 순위 지정
GitHub를 사용하면 Dependabot alerts를 수정하는 데 우선 순위를 지정할 수 있습니다.
Dependabot alerts 보기
리포지토리의 Dependabot alerts 탭에서 열려 있고 닫혀 있는 모든 Dependabot alerts 및 해당 Dependabot security updates을(를) 볼 수 있습니다. 드롭다운 메뉴에서 필터를 선택하여 Dependabot alerts을(를) 정렬하고 필터링할 수 있습니다.
조직에서 소유한 리포지토리의 전체 또는 하위 집합에 대한 경고 요약을 보려면 보안 개요를 사용하세요. 자세한 내용은 "보안 개요"을(를) 참조하세요.
-
enterprise에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
보안 개요의 "취약성 경고" 사이드바에서 Dependabot 을(를) 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리"을 참조하세요.
-
필요에 따라 경고를 필터링하려면 드롭다운 메뉴에서 필터를 선택한 다음, 적용하려는 필터를 클릭합니다. 검색 창에서 필터를 입력할 수도 있습니다. 경고 필터링 및 정렬에 대한 자세한 내용은 "Dependabot alerts 우선 순위 지정"을 참조하세요.
-
보려는 경고를 클릭합니다.
경고 검토 및 수정
모든 종속성에서 보안 약점을 제거해야 합니다. Dependabot에서 종속성의 취약성를 검색하는 경우 프로젝트의 노출 수준을 평가하고 애플리케이션을 보호하기 위해 수행할 수정 단계를 결정해야 합니다.
패치된 버전을 사용할 수 없거나 보안 버전으로 업데이트할 수 없는 경우 Dependabot에서 다음 단계를 결정하는 데 도움이 되는 추가 정보를 공유합니다. Dependabot 경고를 보기 위해 클릭하면 영향을 받는 함수를 포함하여 종속성에 대한 보안 권고의 전체 세부 정보를 볼 수 있습니다. 그러면 코드에서 영향을 받는 함수를 호출하는지 여부를 확인할 수 있습니다. 이 정보는 위험 수준을 추가로 평가하고, 해결 방법을 결정하거나 보안 권고에서 나타내는 위험을 허용할 수 있는지 여부를 결정하는 데 도움이 될 수 있습니다.
취약한 종속성 수정
-
경고에 대한 세부 정보를 봅니다. 자세한 내용은 “Dependabot alerts 보기”(위 항목)를 참조하세요.
-
페이지의 정보를 사용하여 업그레이드할 종속성 버전을 결정하고 매니페스트 또는 잠금 파일에 대한 끌어오기 요청을 보안 버전으로 만들 수 있습니다.
-
종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.
Dependabot alerts 해제
팁: 열려 있는 경고만 해제할 수 있습니다.
종속성을 업그레이드하기 위해 광범위한 작업을 예약하거나 경고를 수정할 필요가 없다고 결정한 경우 경고를 해제할 수 있습니다. 이미 평가한 경고를 해제하면 새 경고가 표시될 때 더 쉽게 심사할 수 있습니다.
-
경고에 대한 세부 정보를 봅니다. 자세한 내용은 "취약한 종속성 보기"(위)를 참조하세요.
-
“해제” 드롭다운을 선택하고 경고를 해제하는 이유를 클릭합니다. 해제된 미해결 경고는 나중에 다시 열 수 있습니다.
종료된 경고 보기 및 업데이트
열려 있는 모든 경고를 볼 수 있으며 이전에 해제된 경고를 다시 열 수 있습니다. 이미 수정된 닫힌 경고는 다시 열 수 없습니다.
-
enterprise에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
보안 개요의 "취약성 경고" 사이드바에서 Dependabot 을(를) 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리"을 참조하세요.
-
종료된 경고만 보려면 종료됨을 클릭합니다.
-
보거나 업데이트하려는 경고를 클릭합니다.
-
필요에 따라 경고가 해제되었지만 이를 다시 열려는 경우 다시 열기를 클릭합니다. 이미 해결된 경고는 다시 열 수 없습니다.
Dependabot alerts에 대한 감사 로그 검토
조직의 구성원 이(가) Dependabot alerts과(와) 관련된 작업을 수행하는 경우 감사 로그에서 작업을 검토할 수 있습니다. 로그에 액세스하는 방법에 대한 자세한 내용은 "조직의 감사 로그 검토" 및 "엔터프라이즈의 감사 로그에 액세스"을 참조하세요.
Dependabot alerts에 대한 감사 로그의 이벤트에는 작업을 수행한 사용자, 작업 내용 및 작업이 수행된 시기와 같은 세부 정보가 포함됩니다. Dependabot alerts 작업에 대한 자세한 내용은 "조직의 감사 로그 이벤트" 및 "엔터프라이즈에 대한 감사 로그 이벤트"의 repository_vulnerability_alert
범주를 참조하세요.