Dependabot alerts은(는) 코드가 안전하지 않은 패키지에 따라 달라지는 것을 알 수 있습니다. 소프트웨어는 다양한 소스의 오픈 소스 코드 패키지를 사용하여 빌드되는 경우가 많습니다. 이러한 종속성 간의 복잡한 관계와 악의적인 행위자가 업스트림 코드에 맬웨어를 삽입할 수 있는 용이성은 취약성이라고도 하는 보안 결함이 있는 종속성을 무의식적으로 사용할 수 있음을 의미합니다.
코드가 보안 취약성이 있는 패키지에 종속된 경우 프로젝트 또는 이를 사용하는 사람들에게 다양한 문제가 발생할 수 있습니다. 취약한 패키지를 사용하면 시스템을 악용하려는 악의적인 사용자를 위한 소프트 타겟이 됩니다. 예를 들어 고객 또는 기여자의 코드 및 데이터에 액세스하려고 할 수 있습니다. 가능한 한 빨리 패키지의 보안 버전으로 업그레이드해야 합니다. 코드에서 맬웨어를 사용하는 경우 패키지를 안전한 대안으로 교체해야 합니다.
Dependabot에서는 맬웨어에 대해 Dependabot alerts을(를) 생성하지 않습니다. 자세한 내용은 "GitHub Advisory Database 정보" 항목을 참조하세요.
Dependabot에서 제공하는 다양한 기능에 대한 개요 및 시작하는 방법에 대한 지침은"Dependabot 빠른 시작 가이드"을 참조하세요.
안전하지 않은 종속성 검색
Dependabot은(는) 안전하지 않은 종속성을 탐지하기 위해 기본 분기 스캔을 수행하고 다음과 같은 경우, Dependabot alerts을(를) 보냅니다.
-
GitHub Advisory Database에 새 권고가 추가됩니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색"을(를) 참조하세요.
참고: GitHub에서 검토한 권고만 Dependabot alerts을(를) 트리거합니다.
-
리포지토리에 대한 종속성 그래프가 변경됩니다. 예를 들어 참가자가 패키지 또는 버전을 변경하기 위해 커밋을 푸시하는 경우 에 따라 달라지거나 종속성 중 하나의 코드가 변경되는 경우에 따라 달라집니다. 자세한 정보는 "종속성 그래프 정보" 항목을 참조하세요.
참고: Dependabot은(는) 보관된 리포지토리를 스캔하지 않습니다.
또한 GitHub는 리포지토리의 기본 분기에 대해 수행한 끌어오기 요청에서 추가하거나 업데이트하거나 제거된 모든 종속성을 검토하고 프로젝트의 보안을 저하시키는 변경 내용에 플래그를 지정할 수 있습니다. 이렇게 하면 코드베이스에 도달하기 전에 취약한 종속성을 찾아서 처리할 수 있습니다. 자세한 내용은 "끌어오기 요청에서 종속성 변경 검토"을(를) 참조하세요.
Dependabot alerts이(가) 종속성 그래프를 사용하므로 Dependabot alerts에서 지원하는 에코시스템은 종속성 그래프에서 지원하는 에코시스템과 동일합니다. 이러한 에코시스템 목록은 "종속성 그래프에서 지원되는 패키지 에코시스템"을(를) 참조하세요.
참고: 매니페스트 및 잠금 파일을 최신 상태로 유지하는 것이 중요합니다. 종속성 그래프가 현재 종속성 및 버전을 정확하게 반영하지 않는 경우 사용하는 안전하지 않은 종속성에 대한 경고를 놓칠 수 있습니다. 더 이상 사용하지 않는 종속성에 대한 경고를 받을 수도 있습니다.
Dependabot은(는) 의미 체계 버전 관리를 사용하는 취약한 GitHub Actions에 대한 Dependabot alerts만 만듭니다. SHA 버전 관리를 사용하는 취약한 작업에 대한 경고는 수신되지 않습니다. SHA 버전 관리와 함께 GitHub Actions을(를) 사용하는 경우, 리포지토리 또는 조직에 Dependabot version updates을(를) 사용 설정하여 사용하는 작업을 계속해서 최신 버전으로 업데이트하는 것이 좋습니다.
Dependabot alerts의 구성
GitHub에서 퍼블릭 리포지토리에서 취약한 종속성을 검색하고 종속성 그래프를 표시하지만 기본값으로 Dependabot alerts을(를) 생성하지는 않습니다. 리포지토리 소유자 또는 관리자 액세스 권한이 있는 사용자는 퍼블릭 리포지토리에 대해 Dependabot alerts을(를) 사용하도록 설정할 수 있습니다. 프라이빗 리포지토리의 소유자 또는 관리자 액세스 권한이 있는 사용자는 해당 리포지토리에 대해 종속성 그래프 및 Dependabot alerts를 사용하도록 설정하여 Dependabot alerts를 사용하도록 설정할 수 있습니다.
사용자 계정 또는 조직이 소유한 모든 리포지토리에 대해 Dependabot alerts을(를) 사용하거나 사용하지 않도록 설정할 수도 있습니다. 자세한 내용은 "Dependabot 경고 구성"을(를) 참조하세요.
Dependabot alerts에 관련된 작업에 대한 액세스 요구 사항에 대한 자세한 내용은 "조직의 리포지토리 역할"을(를) 참조하세요.
GitHub은 종속성 그래프를 즉시 생성하기 시작하고 식별되는 즉시 안전하지 않은 종속성에 대한 경고를 생성합니다. 그래프는 일반적으로 몇 분 내에 채워지지만 종속성이 많은 리포지토리의 경우 더 오래 걸릴 수 있습니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리"을(를) 참조하세요.
GitHub에서 취약한 종속성을 식별하면 Dependabot 경고를 생성하여 리포지토리의 보안 탭과 리포지토리의 종속성 그래프에 이를 표시합니다. 경고에는 프로젝트에서 영향을 받는 파일에 대한 링크와 고정 버전에 대한 정보가 포함됩니다.
GitHub은(는) 알림 기본 설정에 따라 영향을 받는 리포지토리의 기본 유지 보수자에게 새 경고에 대해 알릴 수도 있습니다. Dependabot을(를) 처음 사용 설정하면 GitHub은(는) Dependabot을(를) 사용 설정한 후에 식별된 새로운 취약한 종속성에 대해서만 알림을 보내며 리포지토리에 있는 모든 취약한 종속성에 대한 알림을 보내지 않습니다. 자세한 내용은 "Dependabot 알림에 대한 경고 구성"을(를) 참조하세요.
Dependabot security updates이(가) 활성화된 리포지토리의 경우 매니페스트 또는 잠금 파일을 약점을 해결하는 최소 버전으로 업데이트하기 위한 끌어오기 요청 링크가 경고에 포함될 수도 있습니다. 자세한 내용은 "Dependabot 보안 업데이트 정보"을(를) 참조하세요.
또한 Dependabot 자동 심사 규칙를 사용하여 대규모로 경고를 관리할 수 있으므로 경고를 자동으로 해제하거나 일시 중지하고 Dependabot에서 끌어오기 요청을 열 경고를 지정할 수 있습니다. 다양한 유형의 자동 분류 규칙과 리포지토리가 적격인지 아닌지 자세한 내용은 "Dependabot 자동 심사 규칙 정보"을 참조하세요.
참고: GitHub의 보안 기능은 모든 취약성을 catch하지 않습니다. GitHub Advisory Database를 적극적으로 유지하고 최신 정보를 사용하여 경고를 생성합니다. 그러나 보장된 시간 프레임 내에서 모든 것을 포착하거나 알려진 취약성에 대해 알려줄 수는 없습니다. 이러한 기능은 잠재적 취약성 또는 기타 문제에 대한 각 종속성의 사용자 검토를 대신하지 않으며, 보안 서비스를 참조하거나 필요한 경우 철저한 종속성 검토를 수행하는 것이 좋습니다.
Dependabot alerts에 대한 액세스
리포지토리의 보안 탭에서 특정 프로젝트에 영향을 주는 모든 경고를 보거나 리포지토리의 종속성 그래프에서 을(를) 볼 수 있습니다. 자세한 내용은 "Dependabot 경고 보기 및 업데이트"을(를) 참조하세요.
기본적으로 영향을 받는 리포지토리의 쓰기, 유지 관리 또는 관리자 권한이 있는 사용자에게 새 Dependabot alerts에 대해 알립니다. GitHub은 리포지토리에 대한 안전하지 않은 종속성을 공개적으로 공개하지 않습니다. Dependabot alerts를 사용자가 소유하거나 관리자 권한을 가진 추가 사용자 또는 팀 작업 리포지토리에 표시할 수도 있습니다. 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리"을(를) 참조하세요.
리포지토리에서 Dependabot alerts 알림을 받으려면 해당 리포지토리를 조사하고 "모든 활동" 알림을 받도록 구독하거나 "보안 경고"를 포함하도록 사용자 지정 설정을 구성해야 합니다. 자세한 내용은 "알림 구성"을(를) 참조하세요. 알림에 대한 배달 방법 및 알림이 전송되는 빈도를 선택할 수 있습니다. 자세한 내용은 "Dependabot 알림에 대한 경고 구성"을(를) 참조하세요.
GitHub Advisory Database의 특정 권고에 해당하는 모든 Dependabot alerts를 볼 수도 있습니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색"을(를) 참조하세요.