Dependabot 경고 보기 및 업데이트

엔터프라이즈에서 Dependabot 활성화하기

리포지토리의 Dependabot alerts 탭에는 열려 있거나 닫혀 있는 모든 Dependabot alerts 및 해당 Dependabot security updates가 나열되어 있습니다. 패키지, 에코시스템 또는 매니페스트별로 경고를 필터링할 수 있습니다. 경고 목록을 정렬할 수 있으며, 특정 경고를 클릭하여 세부 정보를 확인할 수 있습니다. 경고를 하나씩 또는 한 번에 여러 경고를 선택하여 경고를 해제하거나 다시 열 수도 있습니다. 자세한 내용은 Dependabot 경고 정보을(를) 참조하세요.

리포지토리의 취약한 종속성에 대한 업데이트 정보

각 Dependabot 경고에는 고유한 숫자 식별자가 있으며, Dependabot alerts 탭에는 검색된 모든 취약성에 대한 경고가 나열됩니다. 레거시 Dependabot alerts는 취약성을 종속성별로 그룹화하고 단일 경고를 종속성별로 생성했습니다. 레거시 Dependabot 경고로 이동하면 해당 패키지에 대해 필터링된 Dependabot alerts 탭으로 리디렉션됩니다.

사용자 인터페이스에서 사용할 수 있는 다양한 필터 및 정렬 옵션을 사용하여 Dependabot alerts를 필터링 및 정렬할 수 있습니다. 자세한 내용은 아래 Dependabot alerts 보기 및 우선 순위 지정을 참조하세요.

또한 Dependabot 경고에 대한 응답으로 수행된 작업을 감사할 수 있습니다. 자세한 내용은 보안 경고 감사을(를) 참조하세요.

Dependabot alerts 보기 및 우선 순위 지정

Dependabot alerts을(를) 보고 정렬하고 필터링하여 가장 중요한 경고에 집중할 수 있습니다.

기본적으로 경고는 가장 중요한 항목별로 정렬되므로 잠재적 영향, 실행 가능성 및 관련성과 같은 요인에 따라 수정의 우선 순위를 지정하는 데 도움이 됩니다. 이 우선 순위 지정은 지속적으로 개선되며 CVSS 점수, 종속성 범위 및 취약한 함수 호출이 검색되는지 여부와 같은 신호를 고려합니다.

리포지토리의 Dependabot alerts 탭에서 열려 있거나 닫혀 있는 모든 Dependabot alerts 및 해당 Dependabot security updates을(를) 볼 수 있습니다.

1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

2. 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.

   

3. 보안 개요의 "취약성 경고" 사이드바에서 Dependabot 을(를) 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 리포지토리에 대한 보안 및 분석 설정 관리을(를) 참조하세요.

   

4. 필요에 따라 경고 목록을 구체화합니다.

   • 목록 맨 위에 있는 드롭다운 메뉴를 사용하여 경고를 정렬하거나 필터링합니다.

     

   • 검색 창에 직접 입력하여 경고 세부 정보 및 관련 보안 권고에 대한 전체 텍스트 검색을 포함하여 경고를 필터링합니다.

   • 경고의 레이블을 클릭하여 해당 레이블별로 목록을 자동으로 필터링합니다.

   • 개발 종속성에 영향을 주는 경고를 식별하려면 필터를 scope:development 필터링하거나 "개발"이라는 레이블이 지정된 경고를 찾습니다. 이렇게 하면 먼저 프로덕션 종속성에 영향을 주는 경고의 우선 순위를 지정하는 데 도움이 될 수 있습니다.

     

5. 경고를 클릭하여 세부 정보를 봅니다. 개발 범위 종속성에 대한 경고에는 경고 세부 정보 페이지의 "태그" 섹션에 "개발" 레이블이 포함됩니다.

   

6. 또는 관련 보안 권고 사항에 대한 개선 사항을 제안하려면 경고 세부 정보 페이지의 오른쪽에서 GitHub Advisory Database에 대한 이 권고 사항에 대한 개선 사항 제안을 클릭하세요. GitHub Advisory Database에서 보안 권고 편집을(를) 참조하세요.

경고의 우선 순위를 지정하기 위한 팁

•         **가장 중요한** 정렬 순서를 사용하여 잠재적 영향이 가장 높은 경고에 집중합니다.
  

• 개발 종속성보다 프로덕션 종속성에 영향을 주는 경고의 우선 순위를 지정합니다.
• Dependabot 자동 심사 규칙를 사용하여 경고의 우선순위를 자동 지정 및 관리합니다. Dependabot 자동 심사 규칙 소개을(를) 참조하세요.

종속성 범위에 대해 지원되는 에코시스템 및 매니페스트 파일에 대한 자세한 내용은 종속성 범위에 대해 지원되는 에코시스템 및 매니페스트을 참조하세요.

사용 가능한 필터의 전체 목록은 Dependabot 경고 필터을 참조하세요.

프로그래밍 방식으로 경고를 검색하려면 Dependabot alerts에 대한 REST API 엔드포인트을 참조하세요.

경고 검토 및 수정

Dependabot 경고의 세부 정보를 검토하여 취약성 및 해결 방법을 이해할 수 있습니다.

취약한 종속성 수정

1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 Dependabot alerts 보기 및 우선 순위 지정 (위)을 참조하세요.

2. Dependabot security updates가 사용하도록 설정된 경우 종속성을 수정하는 끌어오기 요청에 대한 링크가 있을 수 있습니다. 또는 경고 세부 정보 페이지의 위쪽에서 Dependabot 보안 업데이트 만들기를 클릭하여 끌어오기 요청을 만들 수 있습니다.

   

3. 필요에 따라 Dependabot security updates를 사용하지 않는 경우 페이지의 정보를 사용하여 업그레이드할 종속성 버전을 결정하고 해당 종속성을 보안 버전으로 업데이트하는 끌어오기 요청을 만들 수 있습니다.

4. 종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.

   Dependabot에서 실행하는 각 끌어오기 요청에는 Dependabot을 제어하는 데 사용할 수 있는 명령에 대한 정보가 포함되어 있습니다. 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리을(를) 참조하세요.

Dependabot alerts 해제

종속성을 업그레이드하기 위해 광범위한 작업을 예약하거나 경고를 수정할 필요가 없다고 결정한 경우 경고를 해제할 수 있습니다. 이미 평가한 경고를 해제하면 새 경고가 표시될 때 더 쉽게 심사할 수 있습니다.

1.        [Dependabot alerts 보기 및 우선 순위 지정](#viewing-and-prioritizing-dependabot-alerts) (위).
   

2. “해제” 드롭다운을 선택하고 경고를 해제하는 이유를 클릭합니다. 수정되지 않은 해제된 경고는 나중에 다시 열 수 있습니다.

3. 필요에 따라 해제 설명을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. GraphQL API를 사용하여 설명을 검색하거나 설정할 수 있습니다. 설명은 dismissComment 필드에 포함됩니다. 자세한 내용은 GraphQL API 설명서의 개체을(를) 참조하세요.

   

4.        **경고 해제**를 클릭합니다.
   

여러 경고를 한꺼번에 해제

1. 열려 있는 Dependabot alerts를 봅니다.

2. 필요에 따라 드롭다운 메뉴를 선택한 다음, 적용하려는 필터를 클릭하여 경고 목록을 필터링합니다. 검색 창에서 필터를 입력할 수도 있습니다.

3. 각 경고 타이틀의 왼쪽에서 해제할 경고를 선택합니다.

          ![Dependabot alerts 보기의 스크린샷입니다. 두 개의 경고가 선택되고 해당 확인란이 주황색 윤곽선으로 강조 표시됩니다.](/assets/images/help/graphs/select-multiple-alerts.png)
   

4. 필요에 따라 경고 목록의 맨 위에서 페이지의 모든 경고를 선택합니다.

          ![Dependabot alerts 보기의 헤더 섹션 스크린샷입니다. "모두 선택” 확인란이 짙은 주황색 윤곽선으로 강조 표시됩니다.](/assets/images/help/graphs/select-all-alerts.png)
   

5. “경고 해제” 드롭다운을 선택하고 경고를 해제하는 이유를 클릭합니다.

          ![경고 목록 스크린샷. "경고 무시" 단추 아래에 "해제 이유 선택"이라는 드롭다운이 확장됩니다.](/assets/images/help/graphs/dismiss-multiple-alerts.png)
   

종료된 경고 보기 및 업데이트

열려 있는 모든 경고를 볼 수 있으며 이전에 해제된 경고를 다시 열 수 있습니다. 이미 수정된 닫힌 경고는 다시 열 수 없습니다.

1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

2. 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.

   

3. 보안 개요의 "취약성 경고" 사이드바에서 Dependabot 을(를) 클릭합니다. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 리포지토리에 대한 보안 및 분석 설정 관리을(를) 참조하세요.

   

4. 종료된 경고만 보려면 종료됨을 클릭합니다.

   

5. 보거나 업데이트하려는 경고를 클릭합니다.

6. 필요에 따라 경고가 해제되었지만 이를 다시 열려는 경우 다시 열기를 클릭합니다. 이미 해결된 경고는 다시 열 수 없습니다.

   

여러 경고를 한꺼번에 다시 열기

1. 닫힌 Dependabot alerts를 봅니다.

2. 각 경고 제목의 왼쪽에 있는 각 경고 옆에 있는 확인란을 클릭하여 다시 열 경고를 선택합니다.

3. 필요에 따라 경고 목록의 맨 위에서 페이지의 모든 닫힌 경고를 선택합니다.

          !["닫힘" 탭의 경고 스크린샷 "모두 선택" 검사 상자가 진한 주황색 윤곽선으로 강조 표시됩니다.](/assets/images/help/graphs/select-all-closed-alerts.png)
   

4. 경고를 다시 열려면 다시 열기를 클릭합니다. 이미 해결된 경고는 다시 열 수 없습니다.

Dependabot alerts에 대한 감사 로그 검토

조직의 구성원 Dependabot alerts과(와) 관련된 작업을 수행하는 경우 감사 로그에서 작업을 검토할 수 있습니다. 로그 액세스에 대한 자세한 정보는 조직의 감사 로그 검토 및 엔터프라이즈의 감사 로그에 액세스.

Dependabot alerts에 대한 감사 로그의 이벤트에는 작업을 수행한 사용자, 작업 내용 및 작업이 수행된 시기와 같은 세부 정보가 포함됩니다. 이벤트에는 경고로 이동하는 링크도 포함되어 있습니다. 조직의 구성원이 경고를 해제하면 이벤트에 해제 이유와 메모가 표시됩니다. Dependabot alerts 작업에 대한 자세한 내용은 repository_vulnerability_alert 및 조직의 감사 로그 이벤트에 있는 범주를 참조하세요.