Dependabot 오류

          Dependabot 종속성을 업데이트하는 동안 오류가 발생하면 이 참조를 사용하여 일반적인 문제를 진단하고 해결할 수 있습니다.

오류를 보는 방법

보안 업데이트 오류

          Dependabot가 Dependabot 경고 수정을 위한 끌어오기 요청을 만들지 못하도록 차단되면, 경고에 오류 메시지를 게시합니다. 보기에서 Dependabot alerts 아직 해결되지 않은 경고 목록이 표시됩니다. 경고 보기에 액세스하려면 리포지토리의 **Dependabot alerts** 탭을 클릭합니다**<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security**. 취약한 종속성을 수정할 끌어오기 요청이 생성된 경우 경고에는 해당 끌어오기 요청에 대한 링크가 포함됩니다.

다음과 같은 몇 가지 이유로 경고에 끌어오기 요청 링크가 없을 수 있습니다.

1.        Dependabot security updates 는 리포지토리에 대해 사용하도록 설정되지 않았습니다.
   

2. 경고는 잠금 파일에 명시적으로 정의되지 않은 간접 또는 전이적 종속성에 대한 것입니다.
3. 끌어오기 요청을 만들지 못하도록 차단된 Dependabot 오류입니다.

오류 세부 정보를 보려면 경고를 클릭합니다.

버전 업데이트 오류

에코시스템에서 종속성을 업데이트하기 위한 끌어오기 요청을 만들지 못하도록 차단된 경우 Dependabot 작업 로그 목록을 보고 오류에 대해 자세히 알아볼 수 있습니다.

작업 로그 목록은 리포지토리의 종속성 그래프에서 액세스할 수 있습니다. 종속성 그래프에서 Dependabot 탭을 클릭한 다음 영향을 받는 매니페스트 파일의 오른쪽에 있는 최근 업데이트 작업을 클릭합니다.

특정 작업에 대한 전체 로그 파일을 보려면 관심 있는 로그 항목의 오른쪽에 있는 로그 보기를 클릭합니다.

자세한 내용은 Dependabot 작업 로그 보기을(를) 참조하세요.

종속성 해결 오류

종속성을 취약하지 않은 버전으로 업데이트할 수 없음

          **적용 대상:** 보안 업데이트만

          **오류 메시지:**`Dependabot cannot update DEPENDENCY to a non-vulnerable version`

          Dependabot 는 이 리포지토리에 대한 종속성 그래프의 다른 종속성을 중단하지 않고 취약한 종속성을 보안 버전으로 업데이트하는 끌어오기 요청을 만들 수 없습니다.

종속성이 있는 모든 애플리케이션에는 종속성 그래프, 즉 애플리케이션이 직접 또는 간접적으로 의존하는 모든 패키지 버전의 방향성 비순환 그래프가 있습니다. 종속성이 업데이트될 때마다 이 그래프는 애플리케이션이 빌드되지 않는지 확인해야 합니다. 에코시스템에 깊고 복잡한 종속성 그래프(예: npm 및 RubyGems)가 있는 경우 전체 에코시스템을 업그레이드하지 않고 단일 종속성을 업그레이드하는 것은 불가능한 경우가 많습니다.

          **해상도:** 예를 들어 버전 업데이트를 사용하도록 설정하여 가장 최근에 릴리스된 버전을 최신 상태로 유지합니다. 이렇게 하면 종속성 그래프를 중단하지 않는 간단한 업그레이드를 통해 하나의 종속성의 취약성을 해결할 가능성이 커집니다. 
          [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates)을(를) 참조하세요.

경고 없이 종속성을 업데이트합니다.

          **적용 대상:** 보안 업데이트만

          **오류 메시지:**`Dependabot tries to update dependencies without an alert`

          Dependabot 는 모든 에코시스템에 취약한 명시적으로 정의된 전이적 종속성을 업데이트합니다. npm Dependabot 의 경우 전이적 종속성을 수정하기 위한 유일한 방법이라면 부모 종속성도 업데이트하는 끌어오기 요청을 생성합니다.

예를 들어 A에 대해 확인된 ~2.0.0 버전 B에 대한 전이적 종속성이 있는 ~1.0.0 버전 1.0.1에 대해 종속성이 있는 프로젝트.

my project
|
--> A (2.0.0) [~2.0.0]
       |
       --> B (1.0.1) [~1.0.0]

보안 취약점이 B 버전에 대해 공개되고 <2.0.0에서 패치를 사용할 수 있는 경우, 2.0.0는 Dependabot를 업데이트하려고 시도하겠지만, B에서 허용하는 것은 취약한 하위 버전만이라는 제한으로 인해 업데이트가 불가능하다는 것을 깨닫게 됩니다. 취약성을 해결하기 위해 Dependabot 은 A의 종속성 업데이트를 찾아, B의 수정된 버전을 사용할 수 있도록 해야 합니다.

          Dependabot는 잠긴 부모 및 자식의 전이적 종속성을 모두 업그레이드하는 풀 리퀘스트를 자동으로 생성합니다.

이미 적용된 업데이트에 대한 끌어오기 요청을 닫을 수 없습니다.

          **오류 메시지:**`Dependabot fails to close a open pull request for an update that has already been applied on the default branch`

          Dependabot 는 종속성 업데이트에 대한 끌어오기 요청을 닫습니다. 이러한 업데이트가 기본 분기에 커밋된 것을 감지하면 종료됩니다. 그러나 드물게는 풀 리퀘스트가 열린 상태로 남아 있을 수 있습니다.

          **해결책:** 종속성에 대한 업데이트를 수동으로 커밋했으며, 동일한 업데이트에 대한 풀 리퀘스트가 여전히 열려 있는 경우, 풀 리퀘스트에 대한 댓글에 다음 명령 중 하나를 사용할 수 있습니다.

* @dependabot recreate, 또는 * @dependabot rebase;

댓글 중 하나가 Dependabot를 트리거하여 종속성이 더 이상 업그레이드할 수 없거나 취약하지 않은지 확인합니다. 끌어오기 요청이 더 이상 필요하지 않음을 감지하면 Dependabot 이 특정 경우 끌어오기 요청을 닫습니다.

주석 명령에 대한 Dependabot 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리을 참조하세요.

최신 버전에 대해 열려 있는 끌어오기 요청이 이미 있으므로 필요한 버전으로 업데이트할 수 없습니다.

          **적용 대상:** 보안 업데이트만

          **오류 메시지:**`Dependabot cannot update to the required version as there is already an open pull request for the latest version`

          Dependabot 는 이 종속성을 업데이트하기 위한 열린 끌어오기 요청이 이미 있으므로 취약한 종속성을 보안 버전으로 업데이트하는 끌어오기 요청을 만들지 않습니다. 단일 종속성에서 취약성이 검색되고 종속성을 최신 버전으로 업데이트하기 위한 끌어오기 요청이 이미 열려 있으면 이 오류가 표시됩니다.

          **해상도:** 열린 끌어오기 요청을 검토하고 변경 내용이 안전하다고 확신하는 즉시 병합하거나 끌어오기 요청을 닫고 새 보안 업데이트 끌어오기 요청을 트리거할 수 있습니다. 
          [끌어오기 요청을 수동으로 트리거하는 방법을 참조하세요Dependabot](#triggering-a-dependabot-pull-request-manually).

보안 업데이트가 필요하지 않음

          **적용 대상:** 보안 업데이트만

          **오류 메시지:**`No security update is needed as DEPENDENCY is no longer vulnerable`

          Dependabot 는 끌어오기 요청을 닫아 취약하지 않거나 더 이상 취약하지 않은 종속성을 업데이트할 수 없습니다. 종속성 그래프 데이터가 구식이거나 종속성 그래프와 Dependabot가 특정 버전의 종속성의 취약성에 대해 일치하지 않을 때 이 오류가 표시될 수 있습니다.

          **해상도:** 먼저 리포지토리에 대한 종속성 그래프를 검사하고, 종속성에 대해 검색된 버전을 검토하고, 식별된 버전이 리포지토리에서 사용되는 버전과 일치하는지 확인합니다.

종속성 그래프 데이터가 오래된 것으로 의심되면 리포지토리의 종속성 그래프를 수동으로 업데이트하거나 종속성 정보를 추가로 조사해야 할 수 있습니다. 종속성 그래프 문제 해결을(를) 참조하세요.

종속성 버전이 더 이상 취약하지 않음을 확인할 수 있는 경우 Dependabot 끌어오기 요청을 닫을 수 있습니다.

끌어오기 요청 오류

끌어오기 요청 제한에 도달했습니다.

          **오류 메시지:**`Dependabot cannot open any more pull requests`

생성할 열린 끌어오기 요청 수에 제한이 있습니다 Dependabot . 이 제한에 도달하면 새 끌어오기 요청이 열리지 않으며 이 오류가 보고됩니다.

          **제한:**

• 보안 업데이트 끌어오기 요청: 10
• 버전 업데이트 풀 요청: 5 (open-pull-requests-limit를 사용하여 구성 가능)

열려 있는 버전 업데이트 끌어오기 요청이 보안 업데이트 끌어오기 요청 생성을 차단할 수 없도록 보안 및 버전 업데이트 끌어오기 요청에 대한 별도의 제한이 있습니다. 자세한 내용은 Dependabot 옵션 참조을(를) 참조하세요.

          **해결 방법:** 기존 풀 리퀘스트 중 일부를 병합하거나 닫고, 새 풀 리퀘스트를 수동으로 트리거합니다. 
          [끌어오기 요청 Dependabot을 수동으로 트리거하기를 참조하세요.](#triggering-a-dependabot-pull-request-manually)

시간 제한 및 성능 오류

업데이트 시간이 초과됨

          **오류 메시지:**`Dependabot timed out during its update`

          Dependabot 필요한 업데이트를 평가하고 끌어오기 요청을 준비하는 데 허용되는 최대 시간보다 오래 걸렸습니다. 이 오류는 일반적으로 많은 매니페스트 파일이 있는 큰 리포지토리(예: 수백 개의 _package.json_ 파일이 있는 npm 또는 yarn monorepo 프로젝트)에서만 표시됩니다. 또한 Composer 에코시스템에 대한 업데이트는 평가하는 데 더 오래 걸리며 시간이 초과될 수 있습니다.

          **버전 업데이트에 대한 해결 방법:** 매개 변수를 사용하여 `allow` 업데이트할 가장 중요한 종속성을 지정하거나 매개 변수를 `ignore` 사용하여 업데이트에서 일부 종속성을 제외합니다. 구성을 업데이트하면 버전 업데이트를 검토하고 사용 가능한 시간에 끌어오기 요청을 생성할 Dependabot 수 있습니다.

          **보안 업데이트 해결 방법:** 예를 들어 버전 업데이트를 사용하도록 설정하여 종속성을 업데이트된 상태로 유지하여 시간 초과 가능성을 줄입니다. 자세한 내용은 [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates)을(를) 참조하세요.

그룹화 오류

종속성을 그룹화하지 못했습니다(버전 업데이트)

          **적용 대상:** 버전 업데이트만

          **오류 메시지:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot version updates`

          `groups` 파일의 [](/code-security/dependabot/working-with-dependabot/dependabot-options-reference#groups--) 구성 설정은 버전 업데이트 및 보안 업데이트에 적용될 수 있습니다. 
          `applies-to` 키를 사용하여 버전 업데이트 또는 보안 업데이트와 같이 그룹화 규칙이 적용되는 위치를 지정할 수 있습니다.

version 업데이트 및 security 업데이트 모두에 단일 그룹화 규칙 집합을 적용할 수 없습니다. 대신 동일한 조건을 사용하여 버전 업데이트와 보안 업데이트를 모두 그룹화하려면 별도로 명명된 두 개의 규칙 그룹화 집합을 정의해야 합니다.

그룹화된 버전 업데이트를 구성할 때 패키지 에코시스템별로 그룹을 구성해야 합니다.

          **일반적인 원인 - 빈 그룹:** 의도치 않게 빈 그룹을 만들었을 수 있습니다. 예를 들어 전체 작업에 대한 `dependency-type` 키에 `allow`을 설정할 때 이런 일이 발생합니다.

allow:
  dependency-type: production
  # this restricts the entire job to production dependencies
  groups:
      development-dependencies:
        dependency-type: "development"
        # this group will always be empty

allow:
  dependency-type: production
  # this restricts the entire job to production dependencies
  groups:
      development-dependencies:
        dependency-type: "development"
        # this group will always be empty

이 예제에서는 다음을 Dependabot 수행합니다.

1. 종속성 목록을 확인한 뒤, production 에서만 사용되는 종속성으로 작업 범위를 제한하세요.
2. 이 축소된 목록의 부분집합인 그룹 development-dependencies 을 만들어 보세요.
3. 1단계에서 모든 development-dependencies 종속성이 제거되었으므로 development 그룹이 비어 있는지 확인해 주세요.

4.           그룹에 포함되지 않은 모든 종속성을 **개별적으로** 업데이트해 주시기 바랍니다. 프로덕션 종속성 그룹이 비어 있으므로 Dependabot에서 그룹을 무시하고 각 종속성에 대해 별도의 풀 리퀘스트를 만듭니다.
   
          **해상도:** 구성 설정이 서로 취소되지 않도록 하고 구성 파일에서 적절하게 업데이트합니다. 문제를 디버그하려면 로그를 확인합니다. 매니페스트의 로그에 액세스하는 방법에 대한 자세한 내용은 [오류를 보는 방법을 참조하세요](#how-to-view-errors).
   

그룹을 구성하는 방법에 대한 Dependabot version updates자세한 내용은 Dependabot 옵션 참조을 참조하세요.

종속성을 그룹화하지 못했습니다(보안 업데이트)

          **적용 대상:** 보안 업데이트만

          **오류 메시지:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot security updates`

          `groups` 파일의 [](/code-security/dependabot/working-with-dependabot/dependabot-options-reference#groups--) 구성 설정은 버전 업데이트 및 보안 업데이트에 적용될 수 있습니다. 
          `applies-to` 키를 사용하여 버전 업데이트 또는 보안 업데이트와 같이 그룹화 규칙이 적용되는 위치를 지정할 수 있습니다. 보안 업데이트를 적용할 수 있도록 그룹화가 구성되어 있는지 확인합니다. 구성의 그룹화 규칙 집합에 `applies-to` 키가 지정되지 않은 경우, 모든 그룹 규칙은 기본적으로 버전 업데이트에만 적용됩니다.

version 업데이트 및 security 업데이트 모두에 단일 그룹화 규칙 집합을 적용할 수 없습니다. 대신 동일한 조건을 사용하여 버전 업데이트와 보안 업데이트를 모두 그룹화하려면 별도로 명명된 두 개의 규칙 그룹화 집합을 정의해야 합니다.

          **보안 업데이트에 대한 그룹화 지침:**

* Dependabot 는 키를 사용하는 구성에 대해 그룹화 규칙을 지정할 때 서로 다른 디렉터리에 있는 동일한 패키지 에코시스템의 directories 종속성을 그룹화합니다. * Dependabot 는 파일의 dependabot.yml 다른 관련 사용자 지정 옵션을 적용하여 그룹화된 보안 업데이트에 대한 요청을 끌어올 수 있습니다. dependabot.yml 파일에 구성된 그룹 규칙은 조직 또는 리포지토리 수준에서 그룹화된 보안 업데이트를 사용하거나 사용하지 않도록 설정하기 위한 사용자 인터페이스 설정을 재정의합니다. * Dependabot는 서로 다른 패키지 에코시스템의 종속성을 함께 그룹화하지 않습니다. * Dependabot보안 업데이트와 버전 업데이트를 그룹화하지 않습니다.

자세한 내용은 Dependabot 보안 업데이트 정보 및 Dependabot 보안 업데이트에 대한 끌어오기 요청 사용자 지정을(를) 참조하세요.

그룹화된 끌어오기 요청에서 종속성을 업데이트하지 못했습니다.

          **오류 메시지:**`Dependabot fails to update one of the dependencies in a grouped pull request`

실패한 버전 업데이트와 보안 업데이트를 해결하기 위한 다양한 문제 해결 기술이 있습니다.

버전 업데이트

          **적용 대상:** 버전 업데이트만

          Dependabot 는 로그의 끝부분에 있는 작업 요약뿐만 아니라 로그에 실패한 업데이트를 표시합니다.

          **해결 방법:**

1. 풀 리퀘스트에서 @dependabot recreate 코멘트를 사용하여 그룹을 다시 빌드하세요. 종속성 업데이트에 대한 끌어오기 요청 관리을(를) 참조하세요.
2. 종속성이 계속 업데이트되지 않는 경우 그룹에서 종속성이 제외되도록 구성을 사용합니다 exclude-patterns . Dependabot 는 별도의 풀 리퀘스트를 생성하여 종속성을 업데이트합니다.
3. 종속성이 여전히 업데이트되지 않는 경우 종속성 자체 또는 Dependabot 특정 에코시스템에 문제가 있을 수 있습니다.

종속성에 대한 업데이트를 무시하려면 다음 중 하나를 수행해야 합니다.

• dependabot.yml 파일의 종속성에 대한 ignore 규칙을 구성합니다. 자세한 내용은 Dependabot 옵션 참조을(를) 참조하세요.
• 그룹화된 업데이트에 대한 끌어오기 요청의 종속성에 @dependabot ignore 메모 명령을 사용합니다. 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리을(를) 참조하세요.

보안 업데이트

          **적용 대상:** 보안 업데이트만

보안 업데이트를 위한 그룹화된 풀 리퀘스트가 실패하거나 병합할 수 없는 경우, 브레이킹 변경 사항의 버전을 올리기 위해 풀 리퀘스트를 수동으로 열어야 합니다. 그룹화된 끌어오기 요청에 Dependabot 포함된 패키지를 수동으로 업데이트하면 수동으로 업데이트된 패키지가 포함되지 않도록 끌어오기 요청의 기반이 다시 지정됩니다.

종속성에 대한 업데이트를 무시하려면 다음 중 하나를 수행해야 합니다.

• dependabot.yml 파일의 종속성에 대한 ignore 규칙을 구성합니다. 자세한 내용은 Dependabot 옵션 참조을(를) 참조하세요.
• 그룹화된 업데이트에 대한 끌어오기 요청의 종속성에 @dependabot ignore 메모 명령을 사용합니다. 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리을(를) 참조하세요.

그룹화된 끌어오기 요청에서 연속 통합 실패

          **적용 대상:** 버전 업데이트만

          **오류 메시지:**`Continuous integration (CI) fails on my grouped pull request`

          **해결 방법:**

단일 종속성으로 인해 오류가 발생하는 경우 종속성이 그룹에서 제외되도록 구성을 사용합니다 exclude-patterns . Dependabot 는 별도의 풀 리퀘스트를 생성하여 종속성을 업데이트합니다.

종속성에 대한 업데이트를 무시하려면 다음 중 하나를 수행해야 합니다.

• dependabot.yml 파일의 종속성에 대한 ignore 규칙을 구성합니다. 자세한 내용은 Dependabot 옵션 참조을(를) 참조하세요.
• 그룹화된 업데이트에 대한 끌어오기 요청의 종속성에 @dependabot ignore 메모 명령을 사용합니다. 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리을(를) 참조하세요.

CI 오류가 계속 표시되는 경우 그룹 구성을 제거하여 Dependabot 각 종속성에 대한 개별 끌어오기 요청 발생으로 되돌려 줍니다. 그런 다음 각 끌어오기 요청에 대해 업데이트가 올바르게 작동하는지 검토하여 확인합니다.

인증 및 레지스트리 오류

종속성을 확인하거나 액세스할 수 없음

          **오류 메시지:**`Dependabot can't resolve your LANGUAGE dependency files`

          **API 오류 유형:**`git_dependencies_not_reachable`

종속성 참조를 리포지토리에서 업데이트해야 하지만 참조된 파일 중 하나 이상에 액세스할 수 없는 경우 Dependabot 작업이 실패합니다.

프라이빗 패키지 레지스트리 오류

          Dependabot 프라이빗 패키지 레지스트리에 액세스할 수 없는 경우 다음 오류 중 하나를 생성할 수 있습니다.

          **해상도:** 참조된 모든 종속성이 액세스 가능한 위치에서 호스트되는지 확인합니다.

          **버전 업데이트만:**보안 또는 버전 업데이트를 실행할 때 일부 에코시스템은 원본의 모든 종속성을 확인하여 업데이트에 성공했는지 확인할 수 있어야 합니다. 매니페스트 또는 잠금 파일에 프라이빗 종속성이 포함된 경우 Dependabot은 해당 종속성이 호스트된 위치에 액세스할 수 있어야 합니다. 조직 소유자는 동일한 조직 내 프로젝트의 종속성이 포함된 프라이빗 리포지토리에 대한 액세스 권한을 Dependabot에 부여할 수 있습니다. 자세한 내용은 [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization#allowing-dependabot-to-access-private-or-internal-dependencies)을(를) 참조하세요. 리포지토리의 `dependabot.yml` 구성 파일에서 프라이빗 레지스트리에 대한 액세스를 구성할 수 있습니다. 자세한 내용은 [AUTOTITLE](/code-security/dependabot/working-with-dependabot/configuring-access-to-private-registries-for-dependabot)을(를) 참조하세요.Dependabot 또한 모든 패키지 관리자에 대한 프라이빗 GitHub 종속성을 지원하지 않습니다. 
          [AUTOTITLE](/code-security/dependabot/ecosystems-supported-by-dependabot/supported-ecosystems-and-repositories)을(를) 참조하세요.

수동으로 Dependabot 끌어오기 요청 트리거하기

차단 Dependabot을 해제하는 경우 끌어오기 요청을 만들려는 새 시도를 수동으로 트리거할 수 있습니다.

          **보안 업데이트의 경우:** 수정한 Dependabot 오류를 표시하는 경고를 표시하고 **보안 업데이트 만들기Dependabot** 를 클릭합니다.

          **버전 업데이트의 경우:** 리포지토리에 대한 **인사이트** 탭에서 **종속성 그래프**를 클릭한 다음 탭을 클릭합니다 **Dependabot** . 마지막으로 **확인한 _시간_ 전** 을 클릭하여 버전 업데이트를 마지막으로 확인하는 동안 생성된 로그 파일을 Dependabot 확인합니다. 
          **업데이트 확인**을 클릭합니다.

추가 읽기

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph)
  

•         [AUTOTITLE](/code-security/reference/supply-chain-security/troubleshoot-dependabot/vulnerable-dependency-detection)