GitHub AE는 현재 제한된 릴리스 상태입니다.

공급망 보안 정보

이 문서의 내용

GitHub AE은(는) 환경의 종속성을 이해하는 것에서부터 해당 종속성의 취약성을 이해하는 것까지 공급망을 보호하는 데 도움이 됩니다.

GitHub의 공급망 보안 정보

오픈 소스 사용의 가속화로 인해 대부분의 프로젝트는 수백 개의 오픈 소스 종속성에 의존합니다. 해당 현상은 보안 문제를 야기합니다. 사용 중인 종속성이 취약한 경우 어떻게 해야 할까요? 사용자를 공급망 공격의 위험에 빠뜨릴 수 있습니다. 공급망을 보호하기 위해 수행할 수 있는 가장 중요한 작업 중 하나는 취약한 종속성을 패치하는 것입니다.

매니페스트 파일 또는 잠금 파일에서 종속성을 지정할 때 공급망에 직접 종속성을 추가합니다. 종속성을 전이적으로 포함할 수도 있습니다. 즉, 특정 종속성을 지정하지 않더라도 자신의 종속성에서 이를 사용하므로 해당 종속성에 종속됩니다.

GitHub AE는 환경의 종속성을 이해하고 종속성하는 데 도움이 되는 다양한 기능을 제공합니다.

GitHub AE의 공급망 기능은 다음과 같습니다.

  • 종속성 그래프
  • 종속성 검토
  • Dependabot alerts

종속성 그래프는 공급망 보안의 핵심입니다. 종속성 그래프는 리포지토리 또는 패키지의 모든 업스트림 종속성 및 퍼블릭 다운스트림 종속 항목을 식별합니다. 리포지토리의 종속성 및 취약성 정보와 같은 일부 속성은 리포지토리의 종속성 그래프에서 확인할 수 있습니다.

GitHub의 다른 공급망 기능은 종속성 그래프에서 제공하는 정보를 사용합니다.

  • 종속성 검토는 종속성 그래프를 사용하여 종속성 변경 내용을 식별하고 끌어오기 요청을 검토할 때 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다.
  • Dependabot은 종속성 그래프에서 제공하는 종속성 데이터를 GitHub Advisory Database에 게시된 권고 목록과 상호 참조하고, 종속성을 검사하고, 잠재적 취약성가 감지되면 Dependabot alerts를 생성합니다.

기능 개요

종속성 그래프란?

종속성 그래프를 생성하기 위해 GitHub는 매니페스트 및 잠금 파일에 선언된 리포지토리의 명시적 종속성을 확인합니다. 사용하도록 설정하면 종속성 그래프는 리포지토리의 알려진 모든 패키지 매니페스트 파일을 자동으로 구문 분석하고 이를 사용하여 알려진 종속성 이름 및 버전으로 그래프를 생성합니다.

  • 종속성 그래프에는 직접 종속성 및 전이적 종속성에 대한 정보가 포함됩니다.
  • 기본 분기에 지원되는 매니페스트 또는 잠금 파일을 변경하거나 추가하는 GitHub에 커밋을 푸시하고, 누군가가 종속성 중 하나의 리포지토리에 변경 내용을 푸시할 때 종속성 그래프가 자동으로 업데이트됩니다.
  • GitHub AE에서 리포지토리의 기본 페이지를 열고 인사이트 탭으로 이동하여 종속성 그래프를 볼 수 있습니다.

종속성 그래프에 대한 자세한 내용은 "종속성 그래프 정보"을 참조하세요.

종속성 검토란?

종속성 검토는 검토자와 기여자가 모든 끌어오기 요청에서 종속성 변경 내용과 그 보안 영향을 이해하는 데 도움이 됩니다.

  • 종속성 검토는 끌어오기 요청에서 추가, 제거 또는 업데이트된 종속성을 알려줍니다. 릴리스 날짜, 종속성 인기도 및 취약성 정보를 사용하여 변경 내용을 허용할지 여부를 결정할 수 있습니다.
  • 변경된 파일 탭에 rich diff를 표시하여 끌어오기 요청에 대한 종속성 검토를 볼 수 있습니다.

종속서 검토에 대한 자세한 내용은 "종속성 검토 정보"을 참조하세요.

Dependabot이란?

Dependabot은 종속성의 보안 취약성을 알려 종속성을 최신 상태로 유지하며, Dependabot 경고가 트리거될 때 사용 가능한 다음 보안 버전으로, 또는 릴리스가 게시될 때 최신 버전으로.

GitHub Actions에서 Dependabot alerts을(를) 실행하려면 GitHub AE이(가) 필요하지 않습니다.

Dependabot 경고란?

Dependabot alerts는 종속성 그래프와 알려진 취약성 목록에 대한 권고를 포함하는 GitHub Advisory Database를 기준으로 새로 검색된 취약성의 영향을 받는 리포지토리를 강조 표시합니다.

  • Dependabot은 검사를 수행하여 안전하지 않은 종속성을 검색하고 다음과 같은 경우 Dependabot alerts를 보냅니다.
  • Dependabot alerts가 리포지토리의 리포지토리의 종속성 그래프에 표시됩니다. 경고에는 고정 버전에 대한 정보가 포함됩니다.

자세한 내용은 "Dependabot 경고 정보"을 참조하세요.

기능 가용성

  • 종속성 그래프Dependabot alerts - 기본적으로 사용하지 않도록 설정됩니다. 두 기능 모두 엔터프라이즈 수준에서 엔터프라이즈 소유자에 의해 구성됩니다. 자세한 내용은 "엔터프라이즈에 Dependabot 사용"을 참조하세요.
  • 종속성 검토 - enterprise에 대해 종속성 그래프를 사용하도록 설정하고 조직 또는 리포지토리에 대해 Advanced Security을(를) 사용하도록 설정한 경우 사용할 수 있습니다. 자세한 내용은 "GitHub Advanced Security 정보"을 참조하세요.