공급망 보안

GitHub는 환경에 포함된 종속성을 이해하는 것부터, 해당 종속성의 취약성을 파악하고 이를 패치하는 것까지 공급망 전반의 보안을 지원합니다.

도움이 될 수 있는 GitHub의 보안 제품을 포함하여 사용하는 종속성을 유지 관리하기 위한 지침 및 권장 사항입니다.

종속성 그래프를 사용하여 프로젝트의 모든 종속성을 식별할 수 있습니다. 종속성 그래프는 널리 사용되는 다양한 패키지 에코시스템을 지원합니다.

종속성 검토를 사용하면 환경에 도입하기 전에 안전하지 않은 종속성을 파악할 수 있으며 라이선스, 종속 항목 및 종속성 연령에 대한 정보를 제공합니다.

Dependabot alerts를 활용하면 보안 위협이 되기 전에 취약한 종속성을 미리 발견하고 해결할 수 있습니다.

Dependabot은 보안 업데이트를 사용하여 끌어오기 요청을 발생시켜 취약한 종속성을 해결할 수 있습니다.

Dependabot을 사용하여 사용하는 패키지를 최신 버전으로 업데이트할 수 있습니다.

버전 및 보안 업데이트에 대한 끌어오기 요청의 빈도 및 사용자 지정 옵션을 이해합니다.

          `dependabot.yml` 리포지토리에서 자동화된 종속성 업데이트를 제어합니다.

Dependabot가 보안 경고를 처리하는 방식을 제어합니다. 여기에는 필터링, 무시, 일시 중단, 또는 보안 업데이트 트리거가 포함됩니다.

GitHub은 Dependabot이 실행하는 모든 업데이트 작업을 기록함으로써, 종속성의 버전 업데이트, 보안 패치, 자동화된 리베이스 전반에 걸친 가시성을 확보할 수 있도록 합니다.