Dependabot 경고 정보

          Dependabot alerts 보안 위험이 되기 전에 취약한 종속성을 찾고 해결하는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

Dependabot alerts는 조직 소유 및 사용자 소유 저장소에서 지원됩니다.

이 기사에서

소프트웨어는 종종 다양한 원본의 패키지에 의존하여 무의식적으로 보안 취약성을 발생시키는 종속성 관계를 만듭니다. 코드가 알려진 보안 취약성이 있는 패키지에 의존하는 경우 시스템을 악용하려는 공격자의 대상이 되어 코드, 데이터, 고객 또는 기여자에게 액세스할 수 있습니다. Dependabot alerts 보안 버전으로 업그레이드하고 프로젝트를 보호할 수 있도록 취약한 종속성에 대해 알려 줍니다.

          Dependabot가 경고를 보낼 때

          Dependabot 는 리포지토리의 기본 분기를 검색하고 다음과 같은 경우 경고를 보냅니다.
  • 새 취약성이 에 추가됨 GitHub Advisory Database
  • 종속성 그래프가 변경됩니다(예: 패키지 또는 버전을 업데이트하는 커밋을 푸시하는 경우).

지원되는 에코시스템은 종속성 그래프에서 지원되는 패키지 에코시스템을 참조하세요.

경고 이해

취약한 종속성을 GitHub 검색하면 Dependabot 리포지토리의 보안 탭 및 종속성 그래프에 경고가 표시됩니다. 각 경고에는 다음이 포함됩니다.

  • 영향을 받는 파일에 대한 링크
  • 취약성 및 심각도에 대한 세부 정보
  • 고정 버전에 대한 정보(사용 가능한 경우)

경고 보기 및 관리에 대한 자세한 내용은 Dependabot 경고 보기 및 업데이트을 참조하세요.

누가 경고를 사용하도록 설정할 수 있나요?

리포지토리 관리자 및 조직 소유자는 Dependabot alerts을(를) 리포지토리 및 조직에 대해 활성화할 수 있습니다. 사용하도록 설정 GitHub 하면 즉시 종속성 그래프를 생성하고 식별되는 취약한 종속성에 대한 경고를 만듭니다. 리포지토리 관리자는 추가 사용자 또는 팀에 대한 액세스 권한을 부여할 수 있습니다.

          [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)을(를) 참조하세요.

경고 소유권 및 할당

쓰기 이상의 액세스 권한을 가진 사용자는 리포지토리 협력자와 팀에 Dependabot alerts을 할당하거나 Copilot하여 취약성 수정에 대한 명확한 소유권을 설정할 수 있습니다. 할당은 각 경고에 대한 책임이 있는 사용자를 추적하고 취약성이 간과되는 것을 방지하는 데 도움이 됩니다.

경고가 할당되면 담당자가 알림을 받고 경고 목록에 해당 이름이 표시됩니다. 담당자별로 경고를 필터링하여 진행 상황을 추적할 수 있습니다. 경고를 할당하면 Copilot 수정 사항이 자동으로 생성되고 검토를 위한 초안 끌어오기 요청이 열립니다.

경고 할당에 대한 자세한 내용은 Dependabot 경고 보기 및 업데이트을 참조하세요.

경고 알림 작동 방식

기본적으로 GitHub 다음과 같은 사용자에게 새 경고에 대한 이메일 알림을 보냅니다.

  • 리포지토리에 대한 쓰기, 유지 관리 또는 관리자 권한 사용
  • 리포지토리를 감시하고 보안 경고 또는 리포지토리의 모든 활동에 대한 알림을 사용하도록 설정했습니다.

받을 알림 유형을 선택하거나 사용자 알림의 설정 페이지에서 알림을 완전히 해제하여 기본 동작을 재정의할 수 있습니다 https://github.com/settings/notifications.

알림 기본 설정에 관계없이 처음 사용하도록 설정된 Dependabot 경우 GitHub 리포지토리에 있는 모든 취약한 종속성에 대한 알림을 보내지 않습니다. 대신 알림 기본 설정에서 허용하는 경우 활성화된 후 Dependabot 식별된 새로운 취약한 종속성에 대한 알림을 받게 됩니다.

너무 많은 알림을 받는 것이 우려되는 경우 위험 수준이 낮은 경고를 자동으로 해제하는 것이 좋습니다 Dependabot 자동 심사 규칙 . 규칙은 경고 알림이 전송되기 전에 적용되므로 생성 시 자동으로 해제되는 경고는 알림을 보내지 않습니다. Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.

또는 주간 전자 메일 다이제스트를 옵트인하거나 활성화된 상태로 유지하면서 Dependabot alerts 알림을 완전히 끌 수도 있습니다.

제한점

          Dependabot alerts 몇 가지 제한 사항이 있습니다.

  • 경고는 모든 보안 문제를 감지할 수 없습니다. 정확한 검색을 위해 항상 종속성을 검토하고 매니페스트 및 잠금 파일을 최신 상태로 유지합니다.

  • 새 취약성은 GitHub Advisory Database에 나타나고 경고를 트리거하는 데 시간이 걸릴 수 있습니다.

  • 리뷰를 완료한 GitHub 권고만이 경고를 발령합니다.

  •         Dependabot 는 보관된 리포지토리를 검사하지 않습니다.

  • GitHub Actions의 경우 SHA 버전 관리가 아닌 의미 체계 버전 관리 작업을 사용하는 작업에 대해서만 경고가 생성됩니다.

            GitHub 리포지토리에 대한 취약성을 공개적으로 공개하지 않습니다. 


          GitHub Copilot 채팅 통합

          GitHub Copilot Enterprise 라이선스를 사용하면 조직의 리포지토리에서 Dependabot alerts에 대한 질문을 Copilot 채팅 할 수 있습니다. 자세한 내용은 [AUTOTITLE](/copilot/using-github-copilot/asking-github-copilot-questions-in-githubcom#asking-questions-about-alerts-from-github-advanced-security-features)을(를) 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)