{"meta":{"title":"Dependabot 빠른 시작 가이드","intro":"Dependabot를 사용하여 취약한 종속성을 찾아 수정하십시오.","product":"보안 및 코드 품질","breadcrumbs":[{"href":"/ko/code-security","title":"보안 및 코드 품질"},{"href":"/ko/code-security/tutorials","title":"Tutorials"},{"href":"/ko/code-security/tutorials/secure-your-dependencies","title":"종속성 보호"},{"href":"/ko/code-security/tutorials/secure-your-dependencies/dependabot-quickstart-guide","title":"Dependabot 빠른 시작"}],"documentType":"article"},"body":"# Dependabot 빠른 시작 가이드\n\nDependabot를 사용하여 취약한 종속성을 찾아 수정하십시오.\n\n## Dependabot 정보\n\n이 빠른 시작 가이드에서는 Dependabot을/를 설정하고 활성화하는 것, Dependabot alerts을/를 보는 것, 그리고 보안 버전의 종속성을 사용하도록 리포지토리를 업데이트하는 방법을 안내합니다.\n\nDependabot은(는) 종속성 관리에 도움이 되는 세 가지 기능으로 구성됩니다.\n\n* Dependabot alerts: 리포지토리에서 사용하는 종속성의 취약점을 알려줍니다.\n* Dependabot security updates: 끌어오기 요청을 자동으로 생성하여 알려진 보안 취약성이 있는 종속성을 업데이트합니다.\n* Dependabot version updates: 끌어오기 요청을 자동으로 생성하여 종속성을 최신 상태로 유지합니다.\n\n## 필수 조건\n\n이 가이드에서는 데모 리포지토리를 사용하여 종속성에서 취약성을 찾아내는 방법을 설명하고, Dependabot이(가) 있는 위치에서 Dependabot alertsGitHub을(를) 볼 수 있는지, 또한 이러한 경고를 탐색, 수정 또는 해제할 수 있는 방법을 보여줍니다.\n\n먼저 데모 리포지토리를 포크해야 합니다.\n\n1. ```\n [\n https://github.com/dependabot/demo\n ](https://github.com/dependabot/demo?ref_product=supply-chain-security&ref_type=engagement&ref_style=text)으로 이동합니다.\n ```\n2. 페이지 맨 위에 있는 오른쪽에서 **Fork**를 클릭합니다.\n3. 소유자를 선택하고(개인 계정을 선택할 수 있습니다) 리포지토리 이름을 입력합니다 GitHub . 리포지토리를 포크하는 방법에 대한 자세한 내용은 [리포지토리를 포크하다](/ko/pull-requests/collaborating-with-pull-requests/working-with-forks/fork-a-repo#forking-a-repository)을(를) 참조하세요.\n4. ```\n **포크 만들기**를 클릭합니다.\n ```\n\n## 리포지토리에서 Dependabot 활성화하기\n\n```\n [필수 구성 요소](#prerequisites)에서 포크한 리포지토리에 대해 다음 단계를 따라야 합니다.\n```\n\n1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.\n2. 리포지토리 이름 아래에서 ** Settings**를 클릭합니다. \"설정\" 탭이 표시되지 않으면 **** 드롭다운 메뉴를 선택한 다음 **설정**을 클릭합니다.\n\n \n3. 사이드바의 \"Security\" 섹션에서 ** Advanced Security** 를 클릭합니다.\n4. \"Dependabot\"에서 \\*\\*\\*\\*, Dependabot alerts, 및 Dependabot security updates에 대해 Dependabot version updates을 클릭하십시오.\n5. ```\n **활성화**Dependabot version updates를 클릭한 경우, 리포지토리의 `dependabot.yml` 디렉터리에서 GitHub가 자동으로 생성하는 기본 `/.github` 구성 파일을 편집할 수 있습니다.\n ```\n\n리포지토리에서 Dependabot version updates을(를) 활성화하려면 보통 기본 파일을 편집하여, 변경 사항을 커밋해 필요에 맞게 이 파일을 구성합니다. 예를 들어 [Dependabot 버전 업데이트 구성](/ko/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates#example-dependabotyml-file)에 제공된 코드 조각을 참조할 수 있습니다.\n\n> \\[!NOTE]\n> 리포지토리에 대해 종속성 그래프를 아직 사용하도록 설정하지 않은 경우, GitHub을 활성화할 때 Dependabot가 자동으로 활성화합니다.\n\n이러한 Dependabot 각 기능을 구성하는 방법에 대한 자세한 내용은 [AUTOTITLE, AUTOTITLE](/ko/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) 및 [Dependabot 보안 업데이트 구성](/ko/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)을 참조 [하세요](/ko/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).\n\n## 리포지토리의 Dependabot alerts 보기\n\n리포지토리에 대해 Dependabot alerts이(가) 활성화된 경우, 리포지토리의 Dependabot alerts 탭에서 Security and quality을(를) 볼 수 있습니다. 이전 섹션에서 사용하도록 설정한 포크된 Dependabot alerts 리포지토리를 사용할 수 있습니다.\n\n1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.\n\n2. 리포지토리 이름 아래에서 탭을 ** Security and quality** 클릭합니다. \" Security and quality\" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 **** 다음 을 클릭합니다 ** Security and quality**.\n\n3. 사이드바의 \"결과\" 섹션에서 드롭다운 메뉴를 선택한 **Dependabot** 다음 **취약성**을 클릭합니다.\n\n4. ```\n Dependabot alerts 페이지에서 열려 있는 경고를 검토합니다. 기본적으로 페이지에는 열려 있는 경고가 나열된 **열기** 탭이 표시됩니다. (**닫힘**을 클릭하면 모든 닫힌 경고를 볼 수 있습니다.)\n ```\n\n \n\n 다양한 필터 또는 레이블을 사용하여 목록에서 Dependabot alerts을(를) 필터링할 수 있습니다. 자세한 내용은 [Dependabot 경고 보기 및 업데이트](/ko/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#prioritizing-dependabot-alerts)을(를) 참조하세요.\n Dependabot 자동 심사 규칙를 사용하여 관심 없는 경고나 오탐지 경고를 필터링할 수도 있습니다. 자세한 내용은 [Dependabot 자동 분류 규칙에 대한 설명](/ko/code-security/dependabot/dependabot-auto-triage-rules/about-dependabot-auto-triage-rules)을(를) 참조하세요.\n\n5. ```\n `javascript/package-lock.json` 파일에서 \"lodash에 명령 삽입\" 경고를 클릭합니다. 경고의 세부 정보 페이지에는 다음 정보가 표시됩니다(일부 정보는 일부 경고에 적용되지 않을 수 있음).\n ```\n\n * Dependabot이 취약성을 해결할 pull request를 만들었는지 여부입니다.\n **보안 업데이트 검토**를 클릭하여 제안된 보안 업데이트를 검토할 수 있습니다.\n * 관련된 패키지\n * 영향을 받는 버전\n * 패치된 버전\n * 취약성에 대한 간략한 설명\n\n \n\n6. 필요에 따라 페이지 오른쪽에 있는 정보를 탐색할 수 있습니다. 스크린샷에 표시된 일부 정보는 모든 경고에 적용되지 않을 수 있습니다.\n\n * 심각도\n\n * CVSS 메트릭: CVSS 수준을 사용하여 심각도 수준을 할당합니다. 자세한 내용은 [GitHub 권고 데이터베이스에 관한 정보](/ko/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/about-the-github-advisory-database#about-cvss-levels)을(를) 참조하세요.\n\n * 태그들\n\n * 약점: 해당되는 경우 취약성과 관련된 CWU 목록\n\n * CVE ID: 해당되는 경우 취약성에 대한 고유한 CVE 식별자\n\n * GHSA ID: 해당 권고에 대한 고유 식별자로 GitHub Advisory Database에 있습니다. 자세한 내용은 [GitHub 권고 데이터베이스에 관한 정보](/ko/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/about-the-github-advisory-database#about-ghsa-ids)을(를) 참조하세요.\n\n * GitHub Advisory Database에 대한 권고로 이동하는 옵션\n\n * 이 취약성의 영향을 받는 모든 리포지토리를 확인하는 옵션\n\n * 이 권고에 대한 개선 사항을 제안하는 옵션 GitHub Advisory Database\n\n \n\n보기, 우선 순위 지정 및 정렬에 대한 자세한 내용은 Dependabot alerts을 [](/ko/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)참조하세요.\n\n## 경고 수정 또는 해제 Dependabot\n\n```\n Dependabot alerts에서 수정하거나 해제할 수 있습니다. GitHub 포크된 저장소를 예시로 계속 사용하며, 이전 섹션에서 설명한 “lodash의 명령어 주입” 경고를 살펴보겠습니다.\n```\n\n1. 리포지토리의 Dependabot 탭으로 이동합니다. 자세한 내용은 위의 [리포지토리 보기 Dependabot alerts](#viewing-dependabot-alerts-for-your-repository) 섹션을 참조하세요.\n2. 경고를 클릭합니다.\n3. ```\n `javascript/package-lock.json` 파일에서 \"lodash에 명령 삽입\" 경고를 클릭합니다.\n ```\n4. 경고를 검토합니다. 당신은 할 수 있어요:\n * **보안 업데이트 검토**를 클릭하여 제안된 보안 업데이트를 검토합니다. 이렇게 하면 보안 수정으로 생성된 Dependabot 끌어오기 요청이 열립니다.\n\n \n\n * 끌어오기 요청 설명에서 **커밋**을 클릭하고 끌어오기 요청에 포함된 커밋을 탐색할 수 있습니다.\n * **명령 및 옵션을 클릭하여Dependabot** 끌어오기 요청과 상호 작용하는 데 사용할 수 있는 명령에 대해 알아볼 수도 있습니다.\n * 종속성을 업데이트하고 취약성을 해결할 준비가 되면 끌어오기 요청을 병합합니다.\n * 경고를 해제하려면\n * 경고 세부 정보 페이지로 돌아갑니다.\n\n * 오른쪽 위 모서리에서 **경고 해제**를 클릭합니다.\n\n \n\n * 경고를 해제하는 이유를 선택합니다.\n\n * 필요에 따라 해제 설명을 추가합니다. 해제 설명은 경고 타임라인에 추가되며 감사 및 보고 중에 근거로 사용할 수 있습니다.\n\n * **경고 해제**를 클릭합니다. 해당 경고는 **열림** 탭에서 더 이상 표시되지 않으며 **닫힌** 탭에서 볼 수 있습니다.\n\n검토 및 업데이트 Dependabot alerts에 대한 자세한 내용은 [Dependabot 경고 보기 및 업데이트](/ko/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#reviewing-and-fixing-alerts)을 참조하세요.\n\n## Troubleshooting\n\n다음과 같은 경우 몇 가지 문제 해결이 필요할 수 있습니다.\n\n* Dependabot 는 경고를 수정하기 위해 끌어오기 요청을 만들지 못하도록 차단되었거나\n* 보고되는 Dependabot 정보는 예상한 내용이 아닙니다.\n\n자세한 내용은 [Dependabot 오류](/ko/code-security/dependabot/troubleshooting-dependabot/troubleshooting-dependabot-errors) 및 [취약한 의존성 감지](/ko/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)을(를) 각각 참조하세요.\n\n## 다음 단계\n\n업데이트 구성 Dependabot 에 대한 자세한 내용은 [AUTOTITLE 및 AUTOTITLE](/ko/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates) 을 참조 [하세요](/ko/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).\n\n조직에 대한 구성 Dependabot 에 대한 자세한 내용은 [Dependabot 경고 구성](/ko/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts#managing-dependabot-alerts-for-your-organization)을 참조하세요.\n\n열린 Dependabot끌어오기 요청을 보는 방법에 대한 자세한 내용은 [종속성 업데이트에 대한 끌어오기 요청 관리](/ko/code-security/dependabot/working-with-dependabot/managing-pull-requests-for-dependency-updates#viewing-dependabot-pull-requests)을 참조하세요.\n\n기여하는 보안 권고에 대한 자세한 내용은 Dependabot alerts을 [](/ko/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/browsing-security-advisories-in-the-github-advisory-database)참조하세요.\n\n알림 구성에 대한 Dependabot alerts자세한 내용은 [Dependabot 경고에 대한 알림 구성](/ko/code-security/dependabot/dependabot-alerts/configuring-notifications-for-dependabot-alerts)을 참조하세요."}