# Dependabot 보안 업데이트 구성 끌어오기 요청을 사용 Dependabot security updates 하거나 수동으로 사용하여 취약한 종속성을 쉽게 업데이트할 수 있습니다. ## ``` Dependabot security updates의 리포지토리 관리 ``` 개인 계정 또는 조직에서 소유한 모든 자격을 갖춘 리포지토리에 대해 Dependabot security updates를 사용 설정하거나 사용 중지할 수 있습니다. 자세한 내용은 [보안 및 분석 기능 관리](/ko/account-and-profile/setting-up-and-managing-your-personal-account-on-github/managing-personal-account-settings/managing-security-and-analysis-settings-for-your-personal-account) 또는 [조직의 보안 및 분석 설정 관리](/ko/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization)을(를) 참조하세요. 개별 리포지토리의 Dependabot security updates 기능을 활성화하거나 비활성화할 수도 있습니다. ### 개별 리포지토리에 대해 Dependabot security updates 사용 또는 비활성화하기 1. GitHub에서 리포지토리의 기본 페이지로 이동합니다. 2. 리포지토리 이름 아래에서 ** Settings**를 클릭합니다. "설정" 탭이 표시되지 않으면 **** 드롭다운 메뉴를 선택한 다음 **설정**을 클릭합니다. ![탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.](/assets/images/help/repository/repo-actions-settings.png) 3. 사이드바의 "Security" 섹션에서 ** Advanced Security** 를 클릭합니다. 4. "Dependabot 보안 업데이트" 오른쪽에서 **\[사용]** 을 클릭하여 기능을 사용하도록 설정하거나 **사용하지 않도록 설정합니다** . 공용 리포지토리의 경우 기능이 항상 사용하도록 설정된 경우 단추가 비활성화됩니다. ## 단일 풀 리퀘스트Dependabot security updates로 그룹화하기 그룹화된 보안 업데이트를 사용하려면 먼저 다음 기능을 활성화해야 합니다. * **종속성 그래프**. 자세한 내용은 [종속성 그래프 사용](/ko/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph)을(를) 참조하세요. *** ``` Dependabot alerts **. 자세한 내용은 [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)을(를) 참조하세요. ``` *** ``` Dependabot security updates **. 자세한 내용은 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)을(를) 참조하세요. ``` > \[!NOTE] > 그룹화된 보안 업데이트를 처음 사용하도록 설정하면, Dependabot은 즉시 그룹화된 끌어오기 요청을 만들려고 시도합니다. 이전 풀 리퀘스트를 닫고 새로운 풀 리퀘스트를 여는 것을 보게 될 수도 있습니다 Dependabot. 다음 방법 중 하나 또는 둘 다로 Dependabot security updates에 대해 그룹화된 끌어오기 요청을 사용하도록 설정할 수 있습니다. * 가능한 한 많은 보안 업데이트를 디렉터리 및 에코시스템별로 그룹화하려면 리포지토리에 대한 "Advanced Security" 설정 또는 조직의 Advanced Security 아래의 "전역 설정"에서 그룹화할 수 있습니다. * 패키지 이름, 개발/프로덕션 종속성 또는 SemVer 수준별로, 에코시스템별로 여러 디렉터리로 그룹화하는 등과 같이 그룹화를 더 세부적으로 제어하려면 리포지토리의 `dependabot.yml` 구성 파일에 구성 옵션을 추가합니다. > \[!NOTE] > `dependabot.yml` 파일에서 Dependabot security updates에 대한 그룹 규칙을 구성한 경우 사용할 수 있는 모든 업데이트는 지정한 규칙에 따라 그룹화됩니다. 조직 또는 리포지토리 수준에서 그룹화된 보안 업데이트에 대한 설정도 사용하도록 설정된 경우 Dependabot은 `dependabot.yml`에 구성되지 않은 디렉터리 간에서만 그룹화합니다. ### 개별 리포지토리에 대해 그룹화된 Dependabot security updates 사용 또는 사용 안 함 1. GitHub에서 리포지토리의 기본 페이지로 이동합니다. 2. 리포지토리 이름 아래에서 ** Settings**를 클릭합니다. "설정" 탭이 표시되지 않으면 **** 드롭다운 메뉴를 선택한 다음 **설정**을 클릭합니다. ![탭을 보여 주는 리포지토리 헤더의 스크린샷. "설정" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.](/assets/images/help/repository/repo-actions-settings.png) 3. 사이드바의 "Security" 섹션에서 ** Advanced Security** 를 클릭합니다. 4. "그룹화된 보안 업데이트"의 오른쪽에 있는 "Dependabot"에서 **\[사용**]을 클릭하여 기능을 사용하도록 설정하거나 **사용하지 않도록 설정합니다**. ### 조직에 대해 그룹화된 Dependabot security updates 사용 설정 또는 해제 ``` 그룹화된 Dependabot security updates을 단일 끌어오기 요청으로 활성화할 수 있습니다. 자세한 내용은 [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates)을(를) 참조하세요. ``` ## 구성 파일을 사용하여 기본 동작 재정의 ``` Dependabot security updates의 기본 동작을 리포지토리에 `dependabot.yml` 파일을 추가하여 재정의할 수 있습니다. 파일을 사용하면 `dependabot.yml` 그룹화에 대한 보다 세부적인 제어를 가지며 Dependabot security updates 그룹화의 기본 동작을 재정의할 수 있습니다. ``` 옵션 `groups`을(를) 키 `applies-to: security-updates`와 함께 사용하여 패키지 관리자당 종속성 집합을 만들고, Dependabot가 여러 종속성을 동시에 업데이트하는 단일 끌어오기 요청을 열 수 있도록 합니다. 패키지 이름(`patterns` 및 `exclude-patterns` 키), 종속성 유형(`dependency-type` 키), SemVer(`update-types` 키)로 그룹을 정의할 수 있습니다. Dependabot은(는) `dependabot.yml` 파일에 나타나는 순서대로 그룹을 만듭니다. 종속성 업데이트가 둘 이상의 그룹에 속할 수 있는 경우 일치하는 첫 번째 그룹에만 할당됩니다. ``` _보안_ 업데이트만 필요하고 _버전_ 업데이트를 제외하려는 경우 지정된 `open-pull-requests-limit`에 대한 버전 업데이트를 방지하기 위해 `0`를 `package-ecosystem`으로 설정할 수 있습니다. ``` 보안 업데이트에 사용할 수 있는 구성 옵션에 대한 자세한 정보는 [Dependabot 보안 업데이트에 대한 끌어오기 요청 사용자 지정](/ko/code-security/dependabot/dependabot-security-updates/customizing-dependabot-security-prs)을 참조하세요. ```yaml copy # Example configuration file that: # - Has a private registry # - Ignores lodash dependency # - Disables version-updates # - Defines a group by package name, for security updates for golang dependencies version: 2 registries: example: type: npm-registry url: https://example.com token: ${{secrets.NPM_TOKEN}} updates: - package-ecosystem: "npm" directory: "/src/npm-project" schedule: interval: "daily" # For Lodash, ignore all updates ignore: - dependency-name: "lodash" # Disable version updates for npm dependencies open-pull-requests-limit: 0 registries: - example - package-ecosystem: "gomod" directories: - "**/*" schedule: interval: "weekly" open-pull-requests-limit: 0 groups: golang: applies-to: security-updates patterns: - "golang.org*" ``` > \[!NOTE] > 보안 업데이트에 대해 Dependabot이 이 구성을 사용하려면 `directory`은 매니페스트 파일의 경로여야 하고(또는 `directories`은 매니페스트 파일 위치와 일치하는 경로나 glob 패턴을 포함해야 하며), `target-branch`를 지정해서는 안 됩니다. ## 추가 읽기 * [Dependabot 경고 정보](/ko/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) * [Dependabot 경고 구성](/ko/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) * [종속성 그래프에서 지원되는 패키지 에코시스템](/ko/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)