종속성 보안 관리

사용자 고유의 자동 심사 규칙을(를) 만들어 해제하거나 다시 알림할 경고와 Dependabot에서 끌어오기 요청을 열 경고를 제어할 수 있습니다.

GitHub 사전 설정을(를) 사용할 수 있습니다. 이것은 GitHub이(가) 큐레이팅한 규칙으로, 이를 통해 npm 종속성에 대한 저영향 개발 경고를 자동으로 해제할 수 있습니다.

프로젝트의 보안 우선 순위 및 워크플로에 맞게 보안 업데이트에 대한 Dependabot 끌어오기 요청을 사용자 지정하는 방법을 알아봅니다.

지정한 패키지를 정의한 방식대로 Dependabot에서 자동으로 업데이트하도록 dependabot.yml 파일을 구성하는 방법을 알아봅니다.

종속성 검토 작업을 사용하여 프로젝트에 추가되기 전에 취약성을 포착할 수 있습니다.

          `pom.xml` 파일에 메타데이터를 포함하면 사용자가 Java 패키지를 업데이트하기 위해 Dependabot 끌어오기 요청에서 사용할 수 있는 정보를 향상시킬 수 있습니다.

Dependabot alerts에 대한 알림을 받는 방법을 최적화합니다.

개인 레지스트리에 저장된 종속성에 액세스하도록 Dependabot을(를) 구성할 수 있습니다. 비밀번호 및 액세스 토큰과 같은 인증 정보를 암호화된 비밀로 저장한 다음 Dependabot 구성 파일에서 이를 참조할 수 있습니다. 개인 네트워크에 레지스트리가 있는 경우 자체 호스트형 실행기에서 Dependabot을(를) 실행할 때 Dependabot 액세스를 구성할 수도 있습니다.

공용 레지스트리에 대한 호출을 제거하여 개인 레지스트리에만 액세스하도록 Dependabot을(를) 구성하는 방법의 예시입니다.

Dependabot에서 발생한 끌어오기 요청은 다른 끌어오기 요청과 거의 동일한 방식으로 관리하지만 몇 가지 추가 옵션이 있습니다.

Dependabot이(가) 개인 레지스트리 및 내부 네트워크 리소스에 액세스하는 데 사용하는 자체 호스트형 실행기를 구성할 수 있습니다.

Dependabot가 업데이트를 위해 모니터링하는 종속성을 볼 수 있습니다.

이 문서에는 개인 레지스트리 구성에 대한 자세한 정보와 함께 명령 줄에서 실행하여 패키지 관리자를 로컬로 구성할 수 있는 명령이 포함되어 있습니다.