공급망 보안

GitHub는 환경의 종속성을 이해하는 것에서부터 해당 약점의 취약성을 이해하고 패치하는 것까지 공급망을 보호하는 데 도움이 됩니다.

도움이 될 수 있는 GitHub의 보안 제품을 포함하여 사용하는 종속성을 유지 관리하기 위한 지침 및 권장 사항입니다.

종속성 그래프를 사용하여 프로젝트의 모든 종속성을 식별할 수 있습니다. 종속성 그래프는 널리 사용되는 다양한 패키지 에코시스템을 지원합니다.

종속성 검토를 사용하면 환경에 도입하기 전에 안전하지 않은 종속성을 파악할 수 있으며 라이선스, 종속 항목 및 종속성 연령에 대한 정보를 제공합니다.

Dependabot alerts을(를) 사용하면 보안 위험이 되기 전에 취약한 종속성을 찾아 해결할 수 있습니다.

Dependabot은 보안 업데이트를 사용하여 끌어오기 요청을 발생시켜 취약한 종속성을 해결할 수 있습니다.

Dependabot을 사용하여 사용하는 패키지를 최신 버전으로 업데이트할 수 있습니다.

Dependabot 자동 심사 규칙은(는) 대규모 보안 경고를 더욱 효율적으로 관리하는 데 도움이 되는 강력한 도구입니다. GitHub 사전 설정은(는) GitHub이(가) 큐레이팅한 규칙입니다. 이것을 사용하면 가양성을 상당량 필터링해 제외할 수 있습니다. 사용자 지정 자동 심사 규칙은 경고 무시 또는 다시 알림하거나 Dependabot 보안 업데이트를 트리거할 경고에 대한 제어 권한을 제공합니다.

리포지토리에 GitHub Actions를 사용하도록 설정한 경우 GitHub는 GitHub Actions에서 Dependabot 끌어오기 요청을 생성하는 작업이 자동으로 실행됩니다. Dependabot을(를) 활성화하면, 이러한 작업은 리포지토리 또는 조직 수준에서 작업 정책 검사 및 비활성화를 우회하여 실행됩니다.

변경이 불가능한 릴리스와 소프트웨어 공급망의 무결성을 유지하는 데 도움이 되는 방법에 대해 알아봅니다.