Dependabot 경고 보기 및 업데이트

리포지토리의 Dependabot alerts 탭에는 열려 있고 닫힌 Dependabot alerts 및 해당 Dependabot security updates가 모두 나열됩니다. 경고는 패키지, 에코시스템, 또는 매니페스트별로 필터링할 수 있습니다. 경고 목록을 정렬하여 볼 수 있으며, 특정 경고를 클릭하면 상세 정보를 확인할 수 있습니다. 경고를 하나씩 선택하거나 여러 개를 한 번에 선택하여 해제하거나 다시 열 수 있습니다. 자세한 내용은 Dependabot 경고 정보을(를) 참조하세요.

리포지토리의 취약한 종속성에 대한 업데이트 정보

각 Dependabot 경고에는 고유한 숫자 식별자가 있으며 탭에는 Dependabot alerts 검색된 모든 취약성에 대한 경고가 나열됩니다. 레거시 Dependabot alerts 는 종속성별로 취약성을 그룹화하고 종속성당 단일 경고를 생성했습니다. 레거시 Dependabot 경고로 이동하면 해당 패키지에 대해 필터링된 탭으로 Dependabot alerts 리디렉션됩니다.

사용자 인터페이스에서 사용할 수 있는 다양한 필터 및 정렬 옵션을 사용하여 필터링하고 정렬 Dependabot alerts 할 수 있습니다. 자세한 내용은 아래 보기 및 우선 순위를 Dependabot alerts 참조하세요.

경고에 대한 응답으로 수행된 작업을 Dependabot 감사할 수도 있습니다. 자세한 내용은 보안 경고 감사을(를) 참조하세요.

보기 및 우선 순위 지정 Dependabot alerts

가장 중요한 경고에 집중하도록 보고, 정렬하고, 필터링 Dependabot alerts 할 수 있습니다.

기본적으로 경고는 가장 중요한 항목별로 정렬되므로 잠재적 영향, 실행 가능성 및 관련성과 같은 요인에 따라 수정의 우선 순위를 지정하는 데 도움이 됩니다. 이 우선 순위 지정은 지속적으로 개선되며 CVSS 점수, 종속성 범위 및 취약한 함수 호출이 검색되는지 여부와 같은 신호를 고려합니다.

리포지토리의 Dependabot alerts 탭에서 열려 있거나 닫혀 있는 모든 Dependabot alerts 및 해당 Dependabot security updates을(를) 볼 수 있습니다.

1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

2. 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.

   

3. 보안 개요의 "취약성 경고" 사이드바에서 을 클릭합니다 Dependabot. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 리포지토리에 대한 보안 및 분석 설정 관리을(를) 참조하세요.

          !["Dependabot" 탭이 진한 주황색 윤곽선으로 강조 표시된 보안 개요의 스크린샷](/assets/images/enterprise/repository/dependabot-alerts-tab.png)
   

4. 필요에 따라 경고 목록을 구체화합니다.

   • 목록 맨 위에 있는 드롭다운 메뉴를 사용하여 경고를 정렬하거나 필터링합니다.

     

   • 검색 창에 직접 입력하여 경고 세부 정보 및 관련 보안 권고에 대한 전체 텍스트 검색을 포함하여 경고를 필터링합니다.

   • 경고의 레이블을 클릭하여 해당 레이블별로 목록을 자동으로 필터링합니다.

   • 개발 종속성에 영향을 주는 경고를 식별하려면 필터를 scope:development 필터링하거나 "개발"이라는 레이블이 지정된 경고를 찾습니다. 이렇게 하면 먼저 프로덕션 종속성에 영향을 주는 경고의 우선 순위를 지정하는 데 도움이 될 수 있습니다.

     

5. 경고를 클릭하여 세부 정보를 봅니다. 개발 범위 종속성에 대한 경고에는 경고 세부 정보 페이지의 "태그" 섹션에 "개발" 레이블이 포함됩니다.

   

6. 필요에 따라 관련 보안 권고의 개선을 제안하려면 경고 세부 정보 페이지의 오른쪽에서 이 권고GitHub Advisory Database에 대한 개선 사항 제안을 클릭합니다. GitHub Advisory Database에서 보안 권고 편집을(를) 참조하세요.

경고의 우선 순위를 지정하기 위한 팁

•         **가장 중요한** 정렬 순서를 사용하여 잠재적 영향이 가장 높은 경고에 집중합니다.
  

• 개발 종속성보다 프로덕션 종속성에 영향을 주는 경고의 우선 순위를 지정합니다.
• 경고의 우선 순위를 자동으로 지정하거나 관리하는 데 사용합니다 Dependabot 자동 심사 규칙 . Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.

종속성 범위에 대해 지원되는 에코시스템 및 매니페스트 파일에 대한 자세한 내용은 종속성 범위에 대해 지원되는 에코시스템 및 매니페스트을 참조하세요.

사용 가능한 필터의 전체 목록은 Dependabot 경고 필터을 참조하세요.

프로그래밍 방식으로 경고를 검색하려면 Dependabot alerts에 대한 REST API 엔드포인트을 참조하세요.

경고 검토 및 수정

경고의 Dependabot 세부 정보를 검토하여 취약성 및 해결 방법을 이해할 수 있습니다.

취약한 종속성 수정

1. 경고에 대한 세부 정보를 봅니다. 자세한 내용은 보기 및 우선 순위 지정 Dependabot alerts (위)을 참조하세요.

2. 사용하도록 설정한 경우 Dependabot security updates 종속성을 수정하는 끌어오기 요청에 대한 링크가 있을 수 있습니다. 또는 경고 세부 정보 페이지의 맨 위에서 보안 업데이트 만들기 Dependabot 를 클릭하여 끌어오기 요청을 만들 수 있습니다.

   

3. 필요하다면 Dependabot security updates를 사용하지 않는 경우, 페이지의 정보를 통해 업그레이드할 종속성의 버전을 결정하고, 보안 버전으로 종속성을 업데이트하기 위해 끌어오기 요청을 생성할 수 있습니다.

4. 종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.

   각 생성된 풀 리퀘스트에는 Dependabot를 제어하기 위해 사용할 수 있는 명령에 대한 정보가 포함됩니다. 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리을(를) 참조하세요.

          Dependabot alerts 일축하다

종속성을 업그레이드하기 위해 광범위한 작업을 예약하거나 경고를 수정할 필요가 없다고 결정한 경우 경고를 해제할 수 있습니다. 이미 평가한 경고를 해제하면 새 경고가 표시될 때 더 쉽게 심사할 수 있습니다.

1.        [보기 및 우선 순위 지정 Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (위).
   

2. “해제” 드롭다운을 선택한 다음, 경고를 해제하는 이유를 클릭하세요. 해제된 경고는 수정되지 않은 경우 나중에 다시 열 수 있습니다.

3. 필요에 따라 해제 설명을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다. GraphQL API를 사용하여 설명을 검색하거나 설정할 수 있습니다. 설명은 dismissComment 필드에 포함됩니다. 자세한 내용은 GraphQL API 설명서의 개체을(를) 참조하세요.

   

4.        **경고 해제**를 클릭합니다.
   

여러 경고를 한꺼번에 해제

1. 열려 있는 Dependabot alerts을(를) 확인하세요.

2. 필요에 따라 드롭다운 메뉴를 선택한 다음, 적용하려는 필터를 클릭하여 경고 목록을 필터링합니다. 검색 창에서 필터를 입력할 수도 있습니다.

3. 각 경고 타이틀의 왼쪽에서 해제할 경고를 선택합니다.

          ![Dependabot alerts 보기의 스크린샷입니다. 두 개의 경고가 선택되면 해당 확인란이 주황색 테두리로 강조 표시됩니다.](/assets/images/help/graphs/select-multiple-alerts.png)
   

4. 필요에 따라 경고 목록의 맨 위에서 페이지의 모든 경고를 선택합니다.

          ![Dependabot alerts 보기의 헤더 섹션 스크린샷입니다. “모두 선택” 확인란이 진한 주황색 테두리로 강조 표시됩니다.](/assets/images/help/graphs/select-all-alerts.png)
   

5. “경고 해제” 드롭다운을 선택하고 경고를 해제하는 이유를 클릭합니다.

          ![경고 목록의 스크린샷. “경고 무시” 버튼 아래에 “해제 이유 선택”이라는 드롭다운이 펼쳐집니다.](/assets/images/help/graphs/dismiss-multiple-alerts.png)
   

종료된 경고 보기 및 업데이트

열려 있는 모든 경고를 볼 수 있으며 이전에 해제된 경고를 다시 열 수 있습니다. 이미 수정된 닫힌 경고는 다시 열 수 없습니다.

1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

2. 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.

   

3. 보안 개요의 "취약성 경고" 사이드바에서 을 클릭합니다 Dependabot. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 리포지토리에 대한 보안 및 분석 설정 관리을(를) 참조하세요.

          !["Dependabot" 탭이 진한 주황색 윤곽선으로 강조 표시된 보안 개요의 스크린샷](/assets/images/enterprise/repository/dependabot-alerts-tab.png)
   

4. 종료된 경고만 보려면 종료됨을 클릭합니다.

   

5. 보거나 업데이트하려는 경고를 클릭합니다.

6. 필요에 따라 경고가 해제되었지만 이를 다시 열려는 경우 다시 열기를 클릭합니다. 이미 해결된 경고는 다시 열 수 없습니다.

   

여러 경고를 한꺼번에 다시 열기

1. 닫힌 Dependabot alerts을(를) 확인합니다.

2. 다시 열 경고를 선택하려면 각 경고 제목 왼쪽의 확인란을 클릭합니다.

3. 필요에 따라 경고 목록의 맨 위에서 페이지의 모든 닫힌 경고를 선택합니다.

          ![“닫힘” 탭의 경고 스크린샷에서 “모두 선택” 체크박스가 진한 주황색 윤곽선으로 강조 표시되어 있습니다.](/assets/images/help/graphs/select-all-closed-alerts.png)
   

4. 경고를 다시 열려면 다시 열기를 클릭합니다. 이미 해결된 경고는 다시 열 수 없습니다.

          Dependabot alerts에 대한 감사 로그 검토

조직 또는 기업의 구성원이 관련 Dependabot alerts작업을 수행하는 경우 감사 로그에서 작업을 검토할 수 있습니다. 로그에 액세스하는 방법에 대한 자세한 내용은 AUTOTITLE 및 AUTOTITLE을 참조하세요

감사 로그 Dependabot alerts 의 이벤트에는 누가 작업을 수행했는지, 작업이 무엇이었는지, 작업이 수행된 시기와 같은 세부 정보가 포함됩니다. 이벤트에는 경고 페이지로 바로 이동하는 링크도 포함되어 있습니다. 조직 구성원이 경고를 해제하면, 해당 이벤트에 해제 이유와 메모가 표시됩니다. 작업에 대한 Dependabot alerts 자세한 내용은 repository_vulnerability_alert 및 의 범주를 참조하십시오