Dependabot 자동 분류 규칙

Dependabot가 보안 경고를 필터링, 무시, 잠시 미루기 또는 보안 업데이트 실행을 포함해 어떻게 처리할지 제어합니다.

누가 이 기능을 사용할 수 있나요?

모든 리포지토리 유형에 GitHub 사전 설정 를 사용할 수 있습니다.

사용자 지정 자동 심사 규칙 는 다음 리포지토리 유형에 사용할 수 있습니다.

  • GitHub.com에 대한 퍼블릭 리포지토리
  • GitHub Team를 사용하도록 설정된 GitHub Code Security의 조직 소유 리포지토리

이 기사에서

Dependabot 자동 심사 규칙 정보

Dependabot 자동 심사 규칙을 사용하면 Dependabot에 Dependabot alerts 및 Dependabot malware alerts를 자동으로 분류하도록 지시할 수 있습니다. 자동 심사 규칙을(를) 사용할 수 있습니다.

  • 특정 경고를 자동으로 해제하거나 일시 중지
  • Dependabot alerts이(가) 풀 리퀘스트를 열 대상을 Dependabot 지정합니다.

경고 알림이 전송되기 전에 규칙이 적용되므로 위험 수준이 낮은 경고를 자동으로 해제하는 규칙을 사용하면 알림 노이즈를 줄이는 데 도움이 됩니다.

다음 두 가지 유형이 있습니다 Dependabot 자동 심사 규칙.

  • GitHub 사전 설정
  • 사용자 지정 자동 심사 규칙

GitHub 사전 설정 정보

GitHub 사전 설정는 GitHub에서 선별한, 모든 리포지토리에서 사용할 수 있는 규칙입니다.

개발 범위 내 종속성에 대한 낮은 영향의 문제들을 무시합니다

Dismiss low impact issues for development-scoped dependencies 규칙은 GitHub 사전 설정으로, 개발에 사용된 npm 종속성에서 발견된 특정 유형의 약점을 자동 해제합니다. 이러한 경고는 대부분의 개발자에게 거짓 경보처럼 느껴지는 사례를 관련 취약성으로 다룹니다.

  • 개발자(비프로덕션이나 런타임) 환경에서는 악용될 가능성이 낮습니다.
  • 리소스 관리, 프로그래밍 및 논리 또는 정보 공개 문제와 관련될 수 있습니다.
  • 최악의 경우, 느린 빌드 또는 장기 실행 테스트와 같은 제한된 효과가 발생합니다.
  • 프로덕션의 이슈를 나타내지 않습니다.

이 규칙은 공개 리포지토리에서는 기본적으로 활성화되며, 비공개 리포지토리에서는 선택하여 활성화할 수 있습니다. 지침은 프라이빗 리포지토리의 규칙을 Dismiss low impact issues for development-scoped dependencies 사용하도록 설정하는 방법을 참조하세요.

규칙에서 사용하는 조건에 대한 자세한 내용은 GitHub의 미리 설정된 Dependabot 규칙에서 사용하는 CWE을 참조하세요.

패키지 맬웨어 경고 해제

Dismiss package malware alerts 규칙은 패키지의 모든 버전을 악성으로 표시하는 경고를 자동으로 해제하는 GitHub 사전 설정입니다. 프로젝트가 악의적인 공용 패키지와 동일한 에코시스템 및 이름을 가진 내부 패키지에 의존하는 경우, Dependabot에서 가양성 경고를 생성할 수 있으며 이후 해당 규칙이 이를 자동으로 해제합니다.

중요

기여자가 모든 버전에서 실제로 악의적인 종속성을 추가하는 경우 이 규칙은 관련 경고를 자동으로 해제합니다.

Dismiss package malware alerts 규칙은 기본적으로 비활성화되어 있지만, Dependabot malware alerts를 사용하여 모든 리포지토리에서 활성화할 수 있습니다.

사용자 지정 자동 심사 규칙 정보

참고

퍼블릭 리포지토리와 사용자 지정 자동 심사 규칙에서 모든 조직 소유 리포지토리에서 Dependabot alerts가 활성화된 상태로 GitHub Team용 GitHub Code Security를 사용할 수 있습니다.

이 사용자 지정 자동 심사 규칙기능을 사용하면 심각도, 패키지 이름, CWE 등과 같은 대상 메타데이터에 따라 경고를 자동으로 해제하거나 다시 여는 고유한 규칙을 만들 수 있습니다. 어떤 Dependabot alerts에 대해 Dependabot가 끌어오기 요청을 열지 지정할 수도 있습니다. 자세한 내용은 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.

리포지토리가 라이선스**** 가 있는 조직에 속하는 경우 리포지토리의 GitHub Code Security or GitHub Advanced Security 탭에서 사용자 지정 규칙을 만들 수 있습니다. 자세한 내용은 리포지토리에 사용자 지정 자동 분류 규칙을 추가하기를 참조하세요.

경고 자동 해제에 대한 설명

경고를 자동으로 해제하기 위해 자동 분류 규칙을 사용하는 방법이 유용할 수 있지만, 자동으로 해제된 경고는 다시 열 수 있으며 어떤 경고가 자동으로 해제되었는지 필터링하여 확인할 수 있습니다. 자세한 내용은 Dependabot 자동 심사 규칙에 의해 자동으로 해제된 경고 관리을(를) 참조하세요.

또한 자동으로 해제된 경고는 보고 및 검토 용도로 계속 사용할 수 있으며, 예를 들어 다음과 같이 경고 메타데이터가 변경되면 자동으로 다시 열릴 수 있습니다.

  • 개발 환경에서 프로덕션 환경으로 종속성의 범위를 변경하는 경우
  • GitHub가 관련 권고의 특정 메타데이터를 수정하는 경우

자동으로 해제된 경고는 resolution:auto-dismiss 종료 사유로 정의됩니다. 자동 해제 활동은 경고 웹후크, REST 및 GraphQL API, 그리고 감사 로그에 포함됩니다. 자세한 내용은 Dependabot alerts에 대한 REST API 엔드포인트repository_vulnerability_alert의 "" 섹션을 참조하세요.

다음 단계

Dependabot 자동 심사 규칙를 시작하려면 GitHub 사전 설정 규칙을 사용해 Depenabout 경고 우선 순위 지정을 참조하세요.

자동 심사 환경을 사용자 지정하려면 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을 참조하세요.