이 버전의 GitHub Enterprise Server는 다음 날짜에 중단됩니다. 2026-04-09. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 더 뛰어난 성능, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise Server로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

Dependabot 빠른 시작 가이드

          Dependabot를 사용하여 취약한 종속성을 찾아 수정하십시오.

누가 이 기능을 사용할 수 있나요?

Dependabot alerts는 조직 소유 및 사용자 소유 저장소에서 지원됩니다.

이 기사에서

          Dependabot 정보

이 빠른 시작 가이드에서는 Dependabot을/를 설정하고 활성화하는 것, Dependabot alerts을/를 보는 것, 그리고 보안 버전의 종속성을 사용하도록 리포지토리를 업데이트하는 방법을 안내합니다.

Dependabot은(는) 종속성 관리에 도움이 되는 세 가지 기능으로 구성됩니다.

  • Dependabot alerts: 리포지토리에서 사용하는 종속성의 취약점을 알려줍니다.
  • Dependabot security updates: 끌어오기 요청을 자동으로 생성하여 알려진 보안 취약성이 있는 종속성을 업데이트합니다.
  • Dependabot version updates: 끌어오기 요청을 자동으로 생성하여 종속성을 최신 상태로 유지합니다.

필수 조건

이 Dependabot alerts 기능을 GitHub에서 사용하려면 먼저 엔터프라이즈 관리자가 인스턴스에서 Dependabot를 활성화해주어야 합니다. 자세한 내용은 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.

이 가이드에서는 데모 리포지토리를 사용하여 종속성에서 취약성을 찾아내는 방법을 설명하고, Dependabot이(가) 있는 위치에서 Dependabot alertsGitHub을(를) 볼 수 있는지, 또한 이러한 경고를 탐색, 수정 또는 해제할 수 있는 방법을 보여줍니다.

먼저 데모 리포지토리를 포크해야 합니다.

  1.        [
       https://github.com/dependabot/demo
       ](https://github.com/dependabot/demo?ref_product=supply-chain-security&ref_type=engagement&ref_style=text)으로 이동합니다.
  2. 페이지 맨 위에 있는 오른쪽에서 Fork를 클릭합니다.
  3. 소유자를 선택하고(개인 계정을 선택할 수 있습니다) 리포지토리 이름을 입력합니다 GitHub . 리포지토리를 포크하는 방법에 대한 자세한 내용은 리포지토리를 포크하다을(를) 참조하세요.
  4.        **포크 만들기**를 클릭합니다.

리포지토리에서 Dependabot 활성화하기

          [필수 구성 요소](#prerequisites)에서 포크한 리포지토리에 대해 다음 단계를 따라야 합니다.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 Settings를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 사이드바의 "Security" 섹션에서 Code security and analysis 를 클릭합니다.

  4. "Dependabot"에서 Dependabot alerts, Dependabot security updates, 및 Dependabot version updates에 대해 사용 설정을 클릭하십시오.

  5.           **활성화**Dependabot version updates를 클릭한 경우, 리포지토리의 `/.github` 디렉터리에서 GitHub가 자동으로 생성하는 기본 `dependabot.yml` 구성 파일을 편집할 수 있습니다.

리포지토리에서 Dependabot version updates을(를) 활성화하려면 보통 기본 파일을 편집하여, 변경 사항을 커밋해 필요에 맞게 이 파일을 구성합니다. 예를 들어 Dependabot 버전 업데이트 구성에 제공된 코드 조각을 참조할 수 있습니다.

참고

리포지토리에 대해 종속성 그래프를 아직 사용하도록 설정하지 않은 경우, Dependabot을 활성화할 때 GitHub가 자동으로 활성화합니다.

이러한 Dependabot 각 기능을 구성하는 방법에 대한 자세한 내용은 AUTOTITLE, AUTOTITLEDependabot 보안 업데이트 구성을 참조 하세요.

당신의 리포지토리를 보기 Dependabot alerts

리포지토리에 대해 Dependabot alerts이(가) 활성화된 경우, 리포지토리의 Security 탭에서 Dependabot alerts을(를) 볼 수 있습니다. 이전 섹션에서 사용하도록 설정한 포크된 Dependabot alerts 리포지토리를 사용할 수 있습니다.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 보안 개요의 "취약성 경고" 사이드바에서 을 클릭합니다 Dependabot. 이 옵션을 누락하면 보안 경고에 액세스할 수 없으며 액세스 권한이 부여되어야 합니다. 자세한 내용은 리포지토리에 대한 보안 및 분석 설정 관리을(를) 참조하세요.

           !["Dependabot" 탭이 진한 주황색 윤곽선으로 강조 표시된 보안 개요의 스크린샷](/assets/images/enterprise/repository/dependabot-alerts-tab.png)

  4.        Dependabot alerts 페이지에서 열려 있는 경고를 검토합니다. 기본적으로 페이지에는 열려 있는 경고가 나열된 **열기** 탭이 표시됩니다. (**닫힘**을 클릭하면 모든 닫힌 경고를 볼 수 있습니다.)

    데모 리포지토리에 대한 Dependabot 경고 목록을 보여 주는 스크린샷

    다양한 필터 또는 레이블을 사용하여 목록에서 Dependabot alerts을(를) 필터링할 수 있습니다. 자세한 내용은 Dependabot 경고 보기 및 업데이트을(를) 참조하세요. 관심 없는 경고나 오탐지 경고를 필터링하는 데 Dependabot 자동 심사 규칙를 사용할 수도 있습니다. 자세한 내용은 Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.

  5.        `javascript/package-lock.json` 파일에서 "lodash에 명령 삽입" 경고를 클릭합니다. 경고의 세부 정보 페이지에는 다음 정보가 표시됩니다(일부 정보는 일부 경고에 적용되지 않을 수 있음).

    * Dependabot이 취약성을 해결할 pull request를 만들었는지 여부입니다. 보안 업데이트 검토를 클릭하여 제안된 보안 업데이트를 검토할 수 있습니다.

    • 관련된 패키지
    • 영향을 받는 버전
    • 패치된 버전
    • 취약성에 대한 간략한 설명

    주요 정보를 보여 주는 데모 리포지토리의 경고에 대한 상세 페이지 스크린샷

  6. 필요에 따라 페이지 오른쪽에 있는 정보를 탐색할 수 있습니다. 스크린샷에 표시된 일부 정보는 모든 경고에 적용되지 않을 수 있습니다.

    • 심각도

    • CVSS 메트릭: CVSS 수준을 사용하여 심각도 수준을 할당합니다. 자세한 내용은 GitHub 권고 데이터베이스에 관한 정보을(를) 참조하세요.

    • 태그들

    • 약점: 해당되는 경우 취약성과 관련된 CWU 목록

    • CVE ID: 해당되는 경우 취약성에 대한 고유한 CVE 식별자

    • GHSA ID: 해당 권고에 대한 고유 식별자로 GitHub Advisory Database에 있습니다. 자세한 내용은 GitHub 권고 데이터베이스에 관한 정보을(를) 참조하세요.

    • 권고로 이동할 수 있는 옵션 GitHub Advisory Database

    • 이 취약성의 영향을 받는 모든 리포지토리를 확인하는 옵션

    • 이 권고에 대한 개선 사항을 제안하는 옵션 GitHub Advisory Database

    페이지 오른쪽에 표시되는 정보를 보여주는 데모 리포지토리의 경고에 대한 상세 페이지 스크린샷

보기, 우선 순위 지정 및 정렬에 대한 자세한 내용은 Dependabot alerts을 참조하세요.

경고 수정 또는 해제 Dependabot

          Dependabot alerts에서 수정하거나 해제할 수 있습니다. GitHub 포크된 저장소를 예시로 계속 사용하며, 이전 섹션에서 설명한 “lodash의 명령어 주입” 경고를 살펴보겠습니다.

  1. 리포지토리의 Dependabot alerts 탭으로 이동합니다. 자세한 내용은 위의 리포지토리 보기 Dependabot alerts 섹션을 참조하세요.

  2. 경고를 클릭합니다.

  3.        `javascript/package-lock.json` 파일에서 "lodash에 명령 삽입" 경고를 클릭합니다.

  4. 경고를 검토합니다. 당신은 할 수 있어요: * 보안 업데이트 검토를 클릭하여 제안된 보안 업데이트를 검토합니다. 이렇게 하면 보안 수정으로 생성된 Dependabot 끌어오기 요청이 열립니다.

    선택한 경고로 강조 표시된 보안 취약성을 해결하기 위해 Dependabot에서 생성된 끌어오기 요청 스크린샷

    • 끌어오기 요청 설명에서 커밋을 클릭하고 끌어오기 요청에 포함된 커밋을 탐색할 수 있습니다.
    •    **명령 및 옵션을 클릭하여Dependabot** 끌어오기 요청과 상호 작용하는 데 사용할 수 있는 명령에 대해 알아볼 수도 있습니다.
    • 종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.
    • 경고를 해제하려면

      • 경고 세부 정보 페이지로 돌아갑니다.

      • 오른쪽 위 모서리에서 경고 해제를 클릭합니다.

        주황색으로 표시된 경고 해제 버튼, 드롭다운 메뉴 옵션, 해제 메모 상자가 있는 경고 세부 정보 페이지의 스크린샷입니다.

      • 경고를 해제하는 이유를 선택합니다.

      • 필요에 따라 해제 설명을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다.

      •    **경고 해제**를 클릭합니다. 해당 경고는 **열림** 탭에서 더 이상 표시되지 않으며 **닫힌** 탭에서 볼 수 있습니다.

검토 및 업데이트 Dependabot alerts에 대한 자세한 내용은 Dependabot 경고 보기 및 업데이트을 참조하세요.

Troubleshooting

다음과 같은 경우 몇 가지 문제 해결이 필요할 수 있습니다. * Dependabot 는 경고를 수정하기 위해 끌어오기 요청을 만들지 못하도록 차단되었거나

  • 보고되는 Dependabot 정보는 예상한 내용이 아닙니다.

자세한 내용은 Dependabot 오류취약한 의존성 감지을(를) 각각 참조하세요.

다음 단계

업데이트 구성 Dependabot 에 대한 자세한 내용은 AUTOTITLE 및 AUTOTITLE 을 참조 하세요.

조직에 대한 구성 Dependabot 에 대한 자세한 내용은 Dependabot 경고 구성을 참조하세요.

열린 Dependabot끌어오기 요청을 보는 방법에 대한 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리을 참조하세요.

기여하는 보안 권고에 대한 자세한 내용은 Dependabot alerts을 참조하세요.

알림 구성에 대한 Dependabot alerts자세한 내용은 Dependabot 경고에 대한 알림 구성을 참조하세요.