공급망 보안

GitHub 는 사용자 환경의 종속성을 이해하고, 해당 종속성에서 취약성을 파악하고, 패치하는 것까지 공급망을 보호하는 데 도움이 됩니다.

도움이 될 수 있는 GitHub의 보안 제품을 포함하여 사용하는 종속성을 유지 관리하기 위한 지침 및 권장 사항입니다.

종속성 그래프를 사용하여 프로젝트의 모든 종속성을 식별할 수 있습니다. 종속성 그래프는 널리 사용되는 다양한 패키지 에코시스템을 지원합니다.

종속성 그래프는 매니페스트 파일을 자동으로 분석합니다. 자동으로 검색할 수 없는 종속성에 대한 데이터를 제출할 수 있습니다.

종속성 검토를 사용하면 환경에 적용하기 전에 안전하지 않은 종속성을 파악할 수 있으며, 라이선스, 종속성의 사용자 및 종속성의 연령에 대한 정보를 제공합니다.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot 는 보안 업데이트로 끌어오기 요청을 발생시켜 취약한 종속성을 해결할 수 있습니다.

사용하는 패키지를 최신 버전으로 업데이트된 상태로 유지하는 데 사용할 Dependabot 수 있습니다.

버전 및 보안 업데이트에 대한 끌어오기 요청의 빈도 및 사용자 지정 옵션을 이해합니다.

dependabot.yml 리포지토리에서 자동화된 종속성 업데이트를 제어합니다.

Dependabot가 보안 경고를 필터링, 무시, 잠시 미루기 또는 보안 업데이트 실행을 포함해 어떻게 처리할지 제어합니다.

GitHub은 Dependabot이 실행하는 모든 업데이트 작업을 기록함으로써, 종속성의 버전 업데이트, 보안 패치, 자동화된 리베이스 전반에 걸친 가시성을 확보할 수 있도록 합니다.