조직 전체에서 종속성 검토 적용

종속성 검토를 사용하면 안전하지 않은 종속성을 환경에 도입하기 전에 파악할 수 있습니다. 조직 전체에서 종속성 검토 작업의 사용을 적용할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Organization owners can enforce use of the 종속성 검토 작업 in repositories within their organization.

종속성 검토는 퍼블릭 리포지토리에서 사용하도록 설정됩니다. 종속성 검토는 또한 GitHub Enterprise Cloud를 사용하고 GitHub Advanced Security에 대한 라이선스가 있는 조직이 소유한 프라이빗 리포지토리에서 사용할 수 있습니다. 자세한 내용은 "GitHub Advanced Security 정보"을(를) 참조하세요.

이 문서의 내용

종속성 검토 적용 정보

리포지토리에서 dependency-review-action을(를) 사용하여 끌어오기 요청에 종속성 검토를 적용할 수 있습니다. 이 작업은 끌어오기 요청의 패키지 버전 변경에 의해 도입된 취약한 종속성 버전을 검사하고 관련 보안 취약성에 대해 경고합니다. 이를 통해 끌어오기 요청의 변경 내용을 보다 잘 파악할 수 있으며 취약성이 리포지토리에 추가되지 않도록 방지할 수 있습니다. 자세한 내용은 “종속성 검토 정보”을 참조하세요.

끌어오기 요청을 병합하기 전에 dependency-review-action 워크플로를 통과해야 하는 리포지토리 규칙 집합을 설정하여 조직에서 종속성 검토 작업의 사용을 적용할 수 있습니다. 리포지토리 규칙 집합은 사용자가 리포지토리에서 선택한 분기 및 태그와 상호 작용하는 방법을 제어할 수 있는 규칙 설정입니다. 자세한 내용은 "규칙 세트 정보" 및 "병합하기 전에 전달할 워크플로 필요"를 참조하세요.

필수 조건

종속성 검토 작업을(를) 조직의 리포지토리 중 하나에 추가하고 작업을 구성해야 합니다. 자세한 내용은 "종속성 검토 작업 구성"을 참조하세요.

조직에 종속성 검토 적용

  1. GitHub의 오른쪽 위 모서리에서 프로필 사진을 선택하고 조직을 클릭합니다.

  2. 조직 옆에 있는 설정을 클릭합니다.

  3. 왼쪽 사이드바의 "코드, 계획, 자동화" 섹션에서 리포지토리를 선택한 다음 규칙 집합을 클릭합니다.

    조직의 설정 페이지 스크린샷. 사이드바에서 "규칙 집합"이라는 레이블이 지정된 링크가 주황색 윤곽선으로 표시되어 있습니다.

  4. 새 분기 규칙 집합을 클릭합니다.

  5. 적용 상태 활성으로 설정합니다.

  6. 필요에 따라 조직의 특정 리포지토리를 대상으로 지정할 수 있습니다. 자세한 내용은 “조직에서 대상으로 지정할 리포지토리 선택”을 참조하세요.

  7. "규칙" 섹션에서 "병합하기 전에 전달할 워크플로 필요" 옵션을 선택합니다.

  8. "워크플로 구성"에서 워크플로 추가를 클릭합니다.

  9. 대화 상자에서 종속성 검토 작업을(를) 추가한 리포지토리를 선택합니다. 자세한 내용은 “필수 구성 요소”를 참조하세요.

  10. 향상된 대화 상자에서 종속성 검토를 위해 분기 및 워크플로 파일을 선택합니다.

    필수 워크플로 추가 대화 상자의 스크린샷. 리포지토리, 분기 및 워크플로를 지정해야 합니다.

  11. 만들기를 클릭합니다.