Dependabot 자동 심사 규칙 소개

대규모 보안 경고를 더욱 효율적으로 관리하는 데 Dependabot 자동 심사 규칙이(가) 도움이 되는 강력한 도구입니다. GitHub 사전 설정은(는) GitHub에 의해 큐레이팅된 규칙입니다. 이를 통해 상당량의 가양성을 필터링하여 제외할 수 있습니다. 사용자 지정 자동 심사 규칙은(는) 어떤 경고를 무시할지, 일시 중지할지, 또는 경고를 해결하기 위해 Dependabot 보안 업데이트를 트리거할지에 대한 제어 권한을 제공합니다.

누가 이 기능을 사용할 수 있나요?

모든 리포지토리 유형에 GitHub 사전 설정 를 사용할 수 있습니다.

사용자 지정 자동 심사 규칙 는 다음 리포지토리 유형에 사용할 수 있습니다.

이 문서의 내용

Dependabot 자동 심사 규칙 소개

Dependabot 자동 심사 규칙을(를) 통해 Dependabot alerts을(를) 자동으로 심사하도록 Dependabot에 지시할 수 있습니다. 자동 심사 규칙을(를) 통해 특정 경고를 자동으로 해제 또는 다시 알림하거나 Dependabot이(가) 끌어오기 요청을 열 경고를 지정할 수 있습니다. 경고 알림이 전송되기 전에 규칙이 적용됩니다. 따라서 위험 수준이 낮은 경고를 자동으로 해제하는 규칙을 활성화하면, 향후 발생하는 유사한 경고로 인한 알림 노이즈를 방지할 수 있습니다.

두 가지 유형의 Dependabot 자동 심사 규칙이(가) 있습니다.

  • GitHub 사전 설정
  • 사용자 지정 자동 심사 규칙

GitHub 사전 설정 소개

참고 항목

Dependabot alerts의 GitHub 사전 설정은(는) 모든 리포지토리에서 사용할 수 있는 규칙입니다.

GitHub 사전 설정은(는) GitHub에 의해 큐레이팅된 규칙입니다. Dismiss low impact issues for development-scoped dependencies은(는) GitHub 사전 설정 규칙입니다. 이 규칙은 개발에 사용된 npm 종속성에서 발견된 특정 유형의 약점을 자동으로 해제합니다. 이 규칙은 가양성을 줄이고 경고 피로를 줄이기 위해 수정되었습니다. GitHub 사전 설정은(는) 수정할 수 없습니다. GitHub 사전 설정에 대한 자세한 정보는 GitHub 사전 설정 규칙을 사용해 Depenabout 경고 우선 순위 지정을(를) 참조하세요.

공용 리포지토리에 대해 해당 규칙이 기본적으로 사용하도록 설정되며, 프라이빗 리포지토리에 옵트인할 수 있습니다. 프라이빗 리포지토리에 대한 규칙을 사용하도록 설정하려면 리포지토리의 설정 탭을 통해 수행할 수 있습니다. 자세한 내용은 프라이빗 리포지토리에 Dismiss low impact issues for development-scoped dependencies 규칙 사용 설정 항목을 참조하세요.

사용자 지정 자동 심사 규칙

소개

참고 항목

조직 소유 리포지토리의 경우 GitHub Code Security를 사용하도록 설정한 경우 Dependabot alerts의 사용자 지정 자동 심사 규칙를 이용할 수 있습니다.

심각도, 패키지 이름, CWE 등 대상 메타데이터를 기반으로 경고를 자동으로 제거하거나 다시 여는 규칙을 생성하는 데 사용자 지정 자동 심사 규칙을(를) 사용할 수 있습니다. Dependabot이(가) 끌어오기 요청을 열 경고를 지정할 수도 있습니다. 자세한 내용은 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.

리포지토리가 GitHub Code Security or GitHub Advanced Security에 대한 라이선스를 보유한 조직에 속해 있는 경우, 리포지토리의 설정 탭에서 맞춤형 규칙을 생성할 수 있습니다. 리포지토리에 맞춤형 자동 심사 규칙 추가에서 자세한 내용을 확인하세요.

경고 자동 해제 소개

자동 심사 규칙을 사용하여 경고를 자동 해제하는 것이 유용할 수 있지만, 자동으로 해제된 경고를 다시 열 수 있으며 어떤 경고가 자동으로 해제되었는지 필터링하여 확인할 수도 있습니다. 자세한 내용은 Dependabot 자동 심사 규칙에 의해 자동으로 해제된 경고 관리을(를) 참조하세요.

또한 자동 해제된 경고를 보고 및 검토에 계속해서 사용할 수 있으며, 경고 메타데이터가 변경되는 경우 자동으로 다시 열 수 있습니다. 예시는 다음과 같습니다.

  • 종속성 범위를 개발에서 프로덕션으로 변경하는 경우.
  • GitHub이(가) 관련 권고의 특정 메타데이터를 수정하는 경우.

resolution:auto-dismiss 종결 이유로 자동 해제된 경고가 정의됩니다. 경고 웹후크, REST 및 GraphQL API, 감사 로그에 자동 해제 활동이 포함됩니다. Dependabot alerts에 대한 REST API 엔드포인트조직의 감사 로그 검토의 "repository_vulnerability_alert" 섹션에서 자세한 내용을 확인하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)