Dependabot 보안 업데이트 정보

이 문서의 내용

Dependabot은 보안 업데이트를 사용하여 끌어오기 요청을 발생시켜 취약한 종속성을 해결할 수 있습니다.

Dependabot security updates를 GitHub.com의 모든 리포지토리에서 무료로 사용할 수 있습니다.

Dependabot security updates 정보

Dependabot security updates를 사용하면 리포지토리의 취약한 종속성을 더욱 쉽게 해결할 수 있습니다. 이 기능을 사용하도록 설정하면 리포지토리의 종속성 그래프에서 취약한 종속성에 대해 Dependabot 경고가 발생하면 Dependabot에서 자동으로 수정을 시도합니다. 자세한 내용은 "Dependabot 경고 정보" 및 "Dependabot 보안 업데이트 구성."의 내용을 참조하세요.

참고: Dependabot security updates을(를) 리포지토리에 사용하도록 설정하면 Dependabot에서 자동으로 끌어오기 요청을 열어 사용 가능한 패치가 있는 열려 있는 모든 Dependabot 경고를 해결합니다. Dependabot에서 끌어오기 요청을 여는 경고를 사용자 지정하려면 Dependabot security updates을(를) 사용 안 함 상태로 두고 경고 규칙을 만들어야 합니다. 자세한 내용은 "Customizing auto-triage rules to prioritize Dependabot alerts"을(를) 참조하세요.

GitHub은 최근에 게시된 GitHub 보안 권고에서 공개한 취약성의 영향을 받는 리포지토리에 Dependabot alerts를 보낼 수 있습니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색"을 참조하세요.

Dependabot은 리포지토리에 대한 종속성 그래프를 방해하지 않고 취약한 종속성을 고정 버전으로 업그레이드할 수 있는지 여부를 확인합니다. 그런 다음, Dependabot은 패치를 포함하는 최소 버전으로 종속성을 업데이트하기 위한 끌어오기 요청을 발생시키고 끌어오기 요청을 Dependabot 경고에 연결하거나 경고에 대한 오류를 보고합니다. 자세한 내용은 "Dependabot 오류 문제 해결"을(를) 참조하세요.

Dependabot security updates 기능은 종속성 그래프 및 Dependabot alerts를 사용하도록 설정한 리포지토리에 사용할 수 있습니다. 전체 종속성 그래프에서 식별된 모든 취약한 종속성에 대한 Dependabot 경고가 표시됩니다. 그러나 보안 업데이트는 매니페스트 또는 잠금 파일에 지정된 종속성에 대해서만 트리거됩니다. 자세한 내용은 "종속성 그래프 정보"을(를) 참조하세요.

참고: npm의 경우, 는 명시적으로 정의된 종속성을 보안 버전으로 업데이트하기 위해 끌어오기 요청을 발생시킵니다. 이는 부모 종속성 또는 종속성 업데이트를 의미하더라도에 더 이상 필요하지 않은 하위 종속성을 제거할 수도 있습니다. 다른 에코시스템의 경우 부모 종속성에 대한 업데이트가 필요하면 Dependabot에서 간접 또는 전이적 종속성을 업데이트할 수 없습니다. 자세한 내용은 "Dependabot 오류 문제 해결"을(를) 참조하세요.

관련 기능인 Dependabot version updates를 사용하도록 설정하여 Dependabot에서 오래된 종속성을 탐지할 때마다 매니페스트를 최신 버전의 종속성으로 업데이트하기 위한 끌어오기 요청을 발생하도록 할 수 있습니다. 자세한 내용은 "Dependabot 버전 업데이트 정보"을(를) 참조하세요.

Dependabot에서 끌어오기 요청이 발생하면 이러한 끌어오기 요청은 보안 또는 버전 업데이트를 위한 것일 수 있습니다.

  • Dependabot security updates 은(는) 알려진 취약성으로 종속성을 업데이트하는 데 도움이 되는 자동화된 끌어오기 요청입니다.
  • Dependabot version updates 은(는) 취약성이 없더라도 종속성을 업데이트된 상태로 유지하는 자동화된 끌어오기 요청입니다. 버전 업데이트 상태를 확인하려면 리포지토리의 인사이트 탭으로 이동한 다음 종속성 그래프 및 Dependabot(으)로 이동합니다.

GitHub Actions은(는) Dependabot version updates 및 Dependabot security updates이(가) GitHub에서 실행하기 위해 필요하지 않습니다. 그러나 Dependabot에서 연 끌어오기 요청은 작업을 실행하는 워크플로를 트리거할 수 있습니다. 자세한 내용은 "GitHub Actions를 통한 Dependabot 자동화"을 참조하세요.

Dependabot security updates은(는) GitHub Actions의 취약한 종속성을 해결할 수 있습니다. 보안 업데이트를 사용하도록 설정하면 Dependabot은(는) 워크플로에 사용된 취약한 GitHub Actions을(를) 패치된 최소 버전으로 업데이트하기 위한 끌어오기 요청을 자동으로 발생합니다.

보안 업데이트에 대한 끌어오기 요청 정보

각 끌어오기 요청에는 제안된 수정 사항을 빠르고 안전하게 검토하고 프로젝트에 병합하는 데 필요한 모든 것이 포함되어 있습니다. 여기에는 릴리스 정보, 변경 로그 항목 및 커밋 세부 정보와 같은 취약성에 대한 정보가 포함됩니다. 리포지토리에 대한 Dependabot alerts에 액세스할 수 없는 모든 사람은 끌어오기 요청이 해결하는 취약성에 대한 세부 정보를 볼 수 없습니다.

보안 업데이트가 포함된 끌어오기 요청을 병합하면 해당 Dependabot 경고가 리포지토리에 대해 해결된 것으로 표시됩니다. Dependabot 끌어오기 요청에 대한 자세한 내용은 "종속성 업데이트에 대한 끌어오기 요청 관리"을(를) 참조하세요.

참고: 끌어오기 요청이 병합되기 전에 검사가 수행되도록 자동화된 테스트 및 수락 프로세스를 마련하는 것이 좋습니다. 업그레이드할 제안된 버전에 추가 기능이 포함되어 있거나 프로젝트 코드를 중단하는 변경 내용이 포함된 경우 특히 중요합니다. 연속 통합에 대한 자세한 내용은 “연속 통합 정보”을 참조하세요.

호환성 점수 정보

Dependabot security updates에는 종속성을 업데이트할 경우 프로젝트에 중요한 변경이 발생할 수 있는지 여부를 알려주는 호환성 점수가 포함될 수 있습니다. 이는 동일한 보안 업데이트가 생성된 다른 공용 리포지토리의 CI 테스트에서 계산됩니다. 업데이트의 호환성 점수는 특정 버전의 종속성 간에 업데이트될 때 전달되는 CI 실행의 백분율입니다.

Dependabot updates

자동 비활성화 정보

리포지토리의 유지 관리자가 Dependabot 끌어오기 요청과 상호 작용을 중지하면 Dependabot이(가) 일시적으로 업데이트를 일시 중지하고 알려 줍니다. 이 자동 옵트아웃 동작은 Dependabot이(가) 버전 및 보안 업데이트에 대한 끌어오기 요청을 만들지 않고 비활성 리포지토리에 대한 Dependabot 끌어오기 요청을 다시 지성하지 않기 때문에 노이즈를 줄입니다.

Dependabot 업데이트의 자동 비활성화는 Dependabot이(가) 끌어오기 요청을 열었지만 끌어오기 요청은 그대로 기본 리포지토리에만 적용됩니다. Dependabot에서 끌어오기 요청을 열지 않은 경우 Dependabot은(는) 일시 중지되지 않습니다.

활성 리포지토리는 사용자(Dependabot가 아님)가 지난 90일 동안 아래 작업을 수행한 리포지토리입니다.

  • 리포지토리에서 Dependabot 끌어오기 요청을 병합하거나 닫습니다.
  • 리포지토리의 dependabot.yml 파일을 변경합니다.
  • 보안 업데이트 또는 버전 업데이트를 수동으로 트리거합니다.
  • 리포지토리에 Dependabot security updates 사용
  • 끌어오기 요청에 @dependabot 명령을 사용합니다.

비활성 리포지토리는 하나 이상의 Dependabot 끌어오기 요청이 90일 이상 열려 있고, 전체 기간 동안 사용하도록 설정되었으며, 위에 나열된 작업을 사용자가 수행하지 않은 리포지토리입니다.

Dependabot이(가) 일시 중지되면 GitHub은(는) 열려 있는 모든 Dependabot 끌어오기 요청의 본문에 알림을 추가하고 이러한 끌어오기 요청에 dependabot-paused 레이블을 할당합니다. 또한 리포지토리의 설정 탭 UI(코드 보안 및 분석, ** (Dependabot security updates의 영향을 받는 경우) 목록에 배너 알림이 표시됩니다.

유지 관리자가 Dependabot 끌어오기 요청과 다시 상호 작용하는 즉시 Dependabot은(는) 자체의 일시 중지를 해제합니다.

  • Dependabot alerts에 대한 보안 업데이트가 자동으로 다시 시작됩니다.
  • 버전 업데이트는 dependabot.yml 파일에 지정된 일정에 따라 자동으로 다시 시작됩니다.

Dependabot 보안 업데이트에 대한 알림 정보

GitHub에 대한 알림을 필터링하여 Dependabot 보안 업데이트를 표시할 수 있습니다. 자세한 내용은 "받은 편지함에서 알림 관리"을(를) 참조하세요.