소프트웨어는 종종 다양한 원본의 패키지에 의존하여 프로젝트의 보안을 위협할 수 있는 종속성 관계를 만듭니다. 예를 들어 악의적인 행위자는 악성 패키지를 사용하여 맬웨어 공격을 실행하여 코드, 데이터, 사용자 및 참가자에 액세스할 수 있습니다.
프로젝트를 안전하게 유지하기 위해 Dependabot에서 알려진 악성 패키지에 대한 종속성을 확인한 다음 제안된 수정 단계를 사용하여 경고를 만들 수 있습니다.
Dependabot가 malware alerts를 보내는 경우
Dependabot은(는) 리포지토리의 기본 분기에서 패키지가 악성으로 감지되었을 때 malware alerts을(를) 전송합니다. 기존 종속성에 대한 경고는 패키지가 GitHub Advisory Database에 표시되는 즉시 생성됩니다.
알려진 악성 패키지를 추가하거나 알려진 악성 버전으로 패키지를 업데이트하는 커밋을 푸시할 때도 경고가 생성됩니다.
참고
내부 패키지의 에코시스템, 이름, 버전이 악성 공용 패키지의 것과 동일하면 Dependabot에서 오탐지 경고가 발생할 수 있습니다.
경고 내용
Dependabot이 악성 종속성을 탐지하는 즉시, malware alert가 해당 리포지토리의 보안 탭에 표시됩니다. 각 경고는 다음 정보를 포함합니다.
- 영향을 받는 파일에 대한 링크
- 패키지 이름, 영향을 받는 버전 및 패치된 버전(사용 가능한 경우)을 포함하여 악성 패키지에 대한 세부 정보
- 수정 단계
가용성
현재 이 npm 에코시스템의 패키지에는 Dependabot malware alerts 기능을 바로 적용하여 사용할 수 있습니다.
경고 알림
기본적으로 GitHub은(는) 두 사람 모두에게 새 경고에 대한 전자 메일 알림을 보냅니다.
- 리포지토리에 대한 쓰기, 유지 관리 또는 관리자 권한 사용
- 리포지토리를 감시하고 보안 경고 또는 리포지토리의 모든 활동에 대한 알림을 사용하도록 설정했습니다.
GitHub.com에서 수신할 알림 유형을 선택하거나, 사용자 알림 설정 페이지에서 알림을 완전히 비활성화함으로써 기본 동작을 변경할 수 있습니다. https://github.com/settings/notifications.
너무 많은 알림을 받는 것이 우려되는 경우 Dependabot 자동 심사 규칙를 활용하여 위험 수준이 낮은 경고를 자동으로 해제하는 것이 좋습니다. Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.
제한점
Dependabot malware alerts에는 몇 가지 제한 사항이 있습니다.
- 경고는 모든 보안 문제를 감지할 수 없습니다. 정확한 검색을 위해 항상 종속성을 검토하고 매니페스트 및 잠금 파일을 최신 상태로 유지합니다.
- 새로 발견된 맬웨어는 GitHub Advisory Database에 표시되기까지 시간이 걸릴 수 있으며, 그 사이 경고를 유발할 수 있습니다.
- GitHub에서 검토한 권고만 경고를 트리거합니다.
- Dependabot은 보관 처리된 리포지토리는 스캔 대상에서 제외합니다.
- GitHub Actions의 경우 SHA 버전 관리가 아닌 의미 체계 버전 관리 작업을 사용하는 작업에 대해서만 경고가 생성됩니다.
GitHub은(는) 리포지토리에 대한 악의적인 종속성을 공개적으로 공개하지 않습니다.
다음 단계
악의적인 종속성으로부터 프로젝트를 보호하려면 Dependabot 맬웨어 경고 구성을 참조하세요.