종속성 검토 정보
종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 "파일 변경됨" 탭에서 풍부한 차이로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.
- 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성
- 이러한 구성 요소를 사용하는 프로젝트 수.
- 이러한 종속성에 대한 취약성 데이터.
종속성 검토를 사용하면 “왼쪽으로 이동”할 수 있습니다. 제공된 예측 정보를 사용하여 프로덕션에 도달하기 전에 취약한 종속성을 파악할 수 있습니다. 자세한 내용은 "종속성 검토 정보"을 참조하세요.
끌어오기 요청에서 종속성 검토
-
리포지토리 이름 아래에서 끌어오기 요청을 클릭합니다.
-
끌어오기 요청에 많은 파일이 포함된 경우 파일 필터 드롭다운 메뉴를 사용하여 종속성을 기록하지 않는 모든 파일을 축소합니다. 이렇게 하면 종속성 변경 내용에 대한 검토에 더 쉽게 집중할 수 있습니다.
참고: 종속성 검토 서식 있는 차이는 커밋된 정적 JavaScript 파일(예:
jquery.js)에 사용할 수 없습니다. -
매니페스트 또는 잠금 파일의 헤더 오른쪽에서 를 클릭하여 종속성 검토를 표시합니다.
-
종속성 검토에 나열된 종속성을 확인합니다.
취약성이 있는 추가되거나 변경된 종속성은 먼저 심각도에 따라 정렬된 다음 종속성 이름순으로 나열됩니다. 즉, 가장 높은 심각도 종속성은 항상 종속성 검토의 맨 위에 있습니다. 다른 종속성은 종속성 이름에 따라 사전순으로 나열됩니다.
각 종속성 옆에 있는 아이콘은 이 끌어오기 요청에서 종속성이 추가되었는지(), 업데이트되었는지(), 제거되었는지()를 나타냅니다.
기타 정보는 다음과 같습니다.
- 새 종속성, 업데이트된 종속성, 삭제된 종속성의 버전 또는 버전 범위.
- 종속성의 특정 버전의 경우:
- 종속성 릴리스의 기간.
- 이 소프트웨어에 종속된 프로젝트의 수. 이 정보는 종속성 그래프에서 가져옵니다. 종속성의 수를 확인하면 실수로 잘못된 종속성을 추가하는 것을 방지할 수 있습니다.
- 이 정보를 사용할 수 있는 경우 이 종속성에서 사용하는 라이선스. 이 기능은 특정 라이선스가 있는 코드가 프로젝트에서 사용되는 것을 방지하려는 경우에 유용합니다.
종속성에 알려진 취약성이 있는 경우 경고 메시지에는 다음이 포함됩니다.
- 취약성에 대한 간략한 설명.
- CVE(Common Vulnerabilities and Exposures) 또는 GHSA(GitHub Security Advisories) ID 번호. 이 ID를 클릭하여 취약성에 대해 자세히 알아볼 수 있습니다.
- 취약성의 심각도.
- 취약성이 수정된 종속성의 버전. 다른 사용자에 대한 끌어오기 요청을 검토하는 경우 기여자에게 종속성을 패치된 버전 또는 이후 릴리스로 업데이트하도록 요청할 수 있습니다.
-
종속성을 변경하지 않는 매니페스트 또는 잠금 파일이 변경되거나, GitHub가 구문 분석할 수 없고 결과적으로 종속성 검토에 표시되지 않는 종속성이 있을 수 있으므로 원본 diff도 검토할 수 있습니다.
원본 diff 보기로 돌아가려면 단추를 클릭합니다.
