공급망 보안

GitHub 는 사용자 환경의 종속성을 이해하고, 해당 종속성에서 취약성을 파악하고, 패치하는 것까지 공급망을 보호하는 데 도움이 됩니다.

도움이 될 수 있는 GitHub의 보안 제품을 포함하여 사용하는 종속성을 유지 관리하기 위한 지침 및 권장 사항입니다.

종속성 그래프를 사용하여 프로젝트의 모든 종속성을 식별할 수 있습니다. 종속성 그래프는 널리 사용되는 다양한 패키지 에코시스템을 지원합니다.

종속성 그래프는 매니페스트 파일을 자동으로 분석합니다. 자동으로 검색할 수 없는 종속성에 대한 데이터를 제출할 수 있습니다.

종속성 검토를 사용하면 환경에 적용하기 전에 안전하지 않은 종속성을 파악할 수 있으며, 라이선스, 종속성의 사용자 및 종속성의 연령에 대한 정보를 제공합니다.

Dependabot alerts help you find and fix vulnerable dependencies before they become security risks.

Dependabot malware alerts 는 종속성에서 맬웨어를 식별하여 프로젝트와 해당 사용자를 보호하는 데 도움이 됩니다.

지표를 사용해 조직 전반에서 Dependabot alerts를 추적하고 우선순위를 지정하세요.

Dependabot 는 보안 업데이트로 끌어오기 요청을 발생시켜 취약한 종속성을 해결할 수 있습니다.

사용하는 패키지를 최신 버전으로 업데이트된 상태로 유지하는 데 사용할 Dependabot 수 있습니다.

버전 및 보안 업데이트에 대한 끌어오기 요청의 빈도 및 사용자 지정 옵션을 이해합니다.

다중 에코시스템 업데이트는 여러 패키지 에코시스템의 종속성 업데이트를 단일 끌어오기 요청으로 결합하여 검토 오버헤드를 줄이고 업데이트 워크플로를 간소화합니다.

dependabot.yml 리포지토리에서 자동화된 종속성 업데이트를 제어합니다.

Dependabot가 보안 경고를 필터링, 무시, 잠시 미루기 또는 보안 업데이트 실행을 포함해 어떻게 처리할지 제어합니다.

리포지토리에 대해 GitHub가 활성화되어 있는 경우, Dependabot는 GitHub Actions에서 GitHub Actions 끌어오기 요청을 생성하는 작업을 자동으로 실행합니다. 사용하도록 설정되면 Dependabot 이러한 작업은 리포지토리 또는 조직 수준에서 작업 정책 검사 및 비활성화를 우회하여 실행됩니다.

GitHub은 Dependabot이 실행하는 모든 업데이트 작업을 기록함으로써, 종속성의 버전 업데이트, 보안 패치, 자동화된 리베이스 전반에 걸친 가시성을 확보할 수 있도록 합니다.

변경이 불가능한 릴리스와 소프트웨어 공급망의 무결성을 유지하는 데 도움이 되는 방법에 대해 알아봅니다.

아티팩트가 어디에 저장되어 있든지 상관없이 조직의 빌드를 linked artifacts page에서 감사 및 우선 순위를 매기는 데 도움이 됩니다.