Dependabot 보안 업데이트

Dependabot security updates 정보

Dependabot security updates 리포지토리에서 취약한 종속성을 보다 쉽게 해결할 수 있도록 합니다.

Dependabot security updates을(를) 활성화하면 리포지토리의 종속성 그래프에서 취약한 종속성에 대해 Dependabot 경고가 발생할 때 Dependabot가 자동으로 이를 수정하려고 시도합니다. 자세한 내용은 Dependabot alerts 및 Dependabot 보안 업데이트 구성을(를) 참조하세요.

리포지토리에 dependabot.yml 구성 파일을 추가하면 업데이트 일정, 풀 리퀘스트 설정, 모니터링할 종속성 등을 포함하여 Dependabot의 동작을 사용자 지정할 수 있습니다. 자세한 내용은 dependabot.yml 파일 정보을(를) 참조하세요. 그런 다음, 리포지토리가 사용하는 종속성을 보호하는 방법을 알려주 Dependabot 도록 이 파일의 옵션을 구성합니다.

지원되는 리포지토리 및 에코시스템에 대한 자세한 내용은 Dependabot 지원 에코시스템 및 리포지토리을(를) 참조하세요.

참고

보안 업데이트를 위해 Dependabot에서 생성한 관련 풀 리퀘스트가 병합되면 경고가 닫힌다는 점을 제외하면, dependabot.yml 파일에 지정된 설정과 Dependabot 보안 경고 사이에는 상호 작용이 없습니다.

Dependabot은(는) 커밋 서명이 리포지토리에 대한 요구 사항이 아닌 경우에도 기본적으로 자체 커밋에 서명합니다. 인증 커밋에 대한 자세한 내용은 커밋 서명 확인에 대한 안내을(를) 참조하세요.

참고

Dependabot security updates을(를) 리포지토리에 사용하도록 설정하면 Dependabot에서 자동으로 끌어오기 요청을 열어 사용 가능한 패치가 있는 열려 있는 모든 Dependabot 경고를 해결합니다. Dependabot에서 끌어오기 요청을 여는 경고를 사용자 지정하려면 Dependabot security updates을(를) 사용 안 함 상태로 두고 자동 심사 규칙을 만들어야 합니다. 자세한 내용은 Dependabot 경고의 우선 순위를 지정하는 자동 심사 규칙 사용자 지정을(를) 참조하세요.

GitHub는 최근 게시된 Dependabot alerts 보안 권고에서 공개된 취약성의 영향을 받는 리포지토리에 GitHub를 보낼 수 있습니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 탐색을(를) 참조하세요.

Dependabot 는 리포지토리에 대한 종속성 그래프를 방해하지 않고 취약한 종속성을 고정 버전으로 업그레이드할 수 있는지 여부를 확인합니다. 그런 다음 Dependabot 끌어오기 요청을 발생하여 패치를 포함하는 최소 버전으로 종속성을 업데이트하고 끌어오기 요청을 Dependabot 경고에 연결하거나 경고에 대한 오류를 보고합니다. 자세한 내용은 Dependabot 오류을(를) 참조하세요.

Dependabot security updates 기능은 종속성 그래프 및 Dependabot alerts을 사용하도록 설정한 리포지토리에서 사용할 수 있습니다. 전체 종속성 그래프에서 식별된 모든 취약한 종속성에 대한 경고가 표시됩니다 Dependabot . 그러나 보안 업데이트는 매니페스트 또는 잠금 파일에 지정된 종속성에 대해서만 트리거됩니다. 자세한 내용은 종속성 그래프을(를) 참조하세요.

참고

npm Dependabot 의 경우 부모 종속성 또는 종속성을 업데이트하거나 부모가 더 이상 필요하지 않은 하위 종속성을 제거하는 경우에도 명시적으로 정의된 종속성을 보안 버전으로 업데이트하기 위한 끌어오기 요청을 발생합니다. 다른 에코시스템의 Dependabot 경우 부모 종속성에 대한 업데이트도 필요한 경우 간접 또는 전이적 종속성을 업데이트할 수 없습니다. 자세한 내용은 Dependabot 오류을(를) 참조하세요.

관련 기능을 Dependabot version updates사용하도록 설정하면 Dependabot 오래된 종속성을 검색할 때마다 매니페스트를 최신 버전의 종속성으로 업데이트하는 끌어오기 요청을 발생시키는 데 사용할 수 있습니다. 자세한 내용은 Dependabot 버전 업데이트을(를) 참조하세요.

Dependabot에서 끌어오기 요청이 발생하면 이러한 끌어오기 요청은 보안 또는 버전 업데이트를 위한 것일 수 있습니다.

Dependabot security updates 은(는) 알려진 취약성으로 종속성을 업데이트하는 데 도움이 되는 자동화된 끌어오기 요청입니다.
Dependabot version updates 은(는) 취약성이 없더라도 종속성을 업데이트된 상태로 유지하는 자동화된 끌어오기 요청입니다. 버전 업데이트 상태를 확인하려면 리포지토리의 Insights 탭으로 이동한 다음, Dependency Graph, Dependabot을 차례로 선택합니다.

_ Dependabot security updates _을(를) 사용하도록 설정하면 구성의 일부가 Dependabot version updates 에 대해 생성된 끌어오기 요청에도 영향을 미칠 수 있습니다. 이는 일부 구성 설정이 두 업데이트 유형에 공통으로 적용되기 때문입니다. 자세한 내용은 Dependabot 보안 업데이트에 대한 끌어오기 요청 사용자 지정을(를) 참조하세요.

Dependabot에서 연 끌어오기 요청은 작업을 실행하는 워크플로를 트리거할 수 있습니다. 자세한 내용은 GitHub Actions를 통한 Dependabot 자동화을(를) 참조하세요.

Dependabot security updates은(는) GitHub Actions의 취약한 종속성을 해결할 수 있습니다. 보안 업데이트를 사용하도록 설정하면 Dependabot은(는) 워크플로에 사용된 취약한 GitHub Actions을(를) 패치된 최소 버전으로 업데이트하기 위한 끌어오기 요청을 자동으로 발생합니다.

그룹화된 보안 업데이트에 대한 설명

표시되는 풀 요청 수를 더욱 줄이기 위해, 그룹화된 보안 업데이트를 활성화하여 의존성 집합을 패키지 에코시스템별로 그룹화할 수 있습니다. Dependabot 그런 다음 그룹 내에서 가능한 한 많은 취약한 종속성을 보안이 적용된 버전으로 동시에 업데이트하는 단일 풀 리퀘스트를 생성합니다.

보안 업데이트의 Dependabot 경우 특정 조건 및 구성에서 에코시스템당 서로 다른 디렉터리의 종속성만 그룹화합니다. Dependabot 는 서로 다른 패키지 에코시스템의 종속성을 그룹화하지 않으며 버전 업데이트를 사용하여 보안 업데이트를 그룹화 하지 않습니다 .

다음 방법 중 하나 또는 둘 다에 대해 Dependabot security updates 끌어오기 요청을 그룹화하도록 설정할 수 있습니다.

가능한 한 많은 보안 업데이트를 디렉터리 및 에코시스템별로 그룹화하려면 리포지토리의 "" 설정 또는 조직의 "Advanced Security전역 설정" Advanced Security 에서 그룹화할 수 있습니다.
패키지 이름, 개발/프로덕션 종속성 또는 SemVer 수준별로, 에코시스템별로 여러 디렉터리로 그룹화하는 등과 같이 그룹화를 더 세부적으로 제어하려면 리포지토리의 dependabot.yml 구성 파일에 구성 옵션을 추가합니다.

참고

dependabot.yml 파일에서 Dependabot security updates에 대한 그룹 규칙을 구성한 경우 사용할 수 있는 모든 업데이트는 지정한 규칙에 따라 그룹화됩니다. 조직 또는 리포지토리 수준에서 그룹화된 보안 업데이트에 대한 설정도 사용하도록 설정된 경우 Dependabot은 dependabot.yml에 구성되지 않은 디렉터리 간에서만 그룹화합니다.

자세한 내용은 Dependabot 보안 업데이트 구성을(를) 참조하세요.

Dependabot 보안 업데이트

누가 이 기능을 사용할 수 있나요?

이 기사에서

Dependabot security updates 정보

그룹화된 보안 업데이트에 대한 설명

호환성 점수 정보

Dependabot updates의 자동 비활성화 정보

보안 업데이트에 대한 Dependabot 알림 정보