Skip to main content
설명서에 자주 업데이트를 게시하며 이 페이지의 번역이 계속 진행 중일 수 있습니다. 최신 정보는 영어 설명서를 참조하세요.
GitHub AE는 현재 제한된 릴리스에 있습니다.

끌어오기 요청에서 종속성 변경 검토

끌어오기 요청에 종속성 변경 내용이 포함된 경우 변경된 내용 및 종속성에 알려진 취약성이 있는지 여부에 대한 요약을 볼 수 있습니다.

종속성 검토는 GitHub AE의 조직 소유 리포지토리에 사용할 수 있습니다. 이것은 GitHub Advanced Security 기능입니다(베타 릴리스 중 무료). 자세한 내용은 “GitHub Advanced Security 정보”를 참조하세요.

종속성 검토 정보

종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 "파일 변경됨" 탭에서 풍부한 차이로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.

  • 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성
  • 이러한 구성 요소를 사용하는 프로젝트 수.
  • 이러한 종속성에 대한 취약성 데이터.

종속성 검토를 사용하면 “왼쪽으로 이동”할 수 있습니다. 제공된 예측 정보를 사용하여 프로덕션에 도달하기 전에 취약한 종속성을 파악할 수 있습니다. 자세한 내용은 “종속성 검토 정보”를 참조하세요.

끌어오기 요청에서 종속성 검토

  1. 리포지토리 이름에서 끌어오기 요청 아이콘을 클릭합니다. 끌어오기 요청 탭 선택 1. 끌어오기 요청 목록에서 검토하려는 끌어오기 요청을 클릭합니다. 1. 끌어오기 요청에서 Files changed를 클릭합니다. 끌어오기 요청 변경된 파일 탭

  2. 끌어오기 요청에 많은 파일이 포함된 경우 파일 필터 드롭다운 메뉴를 사용하여 종속성을 기록하지 않는 모든 파일을 축소합니다. 이렇게 하면 종속성 변경 내용에 대한 검토에 더 쉽게 집중할 수 있습니다.

    파일 필터 메뉴 종속성 검토를 사용하면 기본적으로 원본 차이가 렌더링되지 않는 큰 잠금 파일에서 변경된 내용을 좀 더 명확하게 볼 수 있습니다.

    참고: 종속성 검토 서식 있는 차이는 커밋된 정적 JavaScript 파일(예: jquery.js)에 사용할 수 없습니다.

  3. 매니페스트 또는 잠금 파일의 헤더 오른쪽에서 서식 있는 차이 단추를 클릭하여 종속성 검토를 표시합니다.

    서식 있는 차이 단추

  4. 종속성 검토에 나열된 종속성을 확인합니다.

    종속성 검토의 취약성 경고

    취약성이 있는 추가되거나 변경된 종속성은 먼저 심각도에 따라 정렬된 다음 종속성 이름순으로 나열됩니다. 즉, 가장 높은 심각도 종속성은 항상 종속성 검토의 맨 위에 있습니다. 다른 종속성은 종속성 이름에 따라 사전순으로 나열됩니다.

    각 종속성 옆에 있는 아이콘은 이 끌어오기 요청에서 종속성이 추가되었는지(), 업데이트되었는지(), 제거되었는지()를 나타냅니다.

    기타 정보는 다음과 같습니다.

    • 새 종속성, 업데이트된 종속성, 삭제된 종속성의 버전 또는 버전 범위.
    • 종속성의 특정 버전의 경우:
      • 종속성 릴리스의 기간.
      • 이 소프트웨어에 종속된 프로젝트의 수. 이 정보는 종속성 그래프에서 가져옵니다. 종속성의 수를 확인하면 실수로 잘못된 종속성을 추가하는 것을 방지할 수 있습니다.
      • 이 정보를 사용할 수 있는 경우 이 종속성에서 사용하는 라이선스. 이 기능은 특정 라이선스가 있는 코드가 프로젝트에서 사용되는 것을 방지하려는 경우에 유용합니다.

    종속성에 알려진 취약성이 있는 경우 경고 메시지에는 다음이 포함됩니다.

    • 취약성에 대한 간략한 설명.
    • CVE(Common Vulnerabilities and Exposures) 또는 GHSA(GitHub Security Advisories) ID 번호. 이 ID를 클릭하여 취약성에 대해 자세히 알아볼 수 있습니다.
    • 취약성의 심각도.
    • 취약성이 수정된 종속성의 버전. 다른 사용자에 대한 끌어오기 요청을 검토하는 경우 기여자에게 종속성을 패치된 버전 또는 이후 릴리스로 업데이트하도록 요청할 수 있습니다.
  5. 종속성을 변경하지 않는 매니페스트 또는 잠금 파일이 변경되거나, GitHub가 구문 분석할 수 없고 결과적으로 종속성 검토에 표시되지 않는 종속성이 있을 수 있으므로 원본 diff도 검토할 수 있습니다.

    원본 diff 보기로 돌아가려면 단추를 클릭합니다.

    원본 diff 단추