Dependabot 맬웨어 경고

          Dependabot malware alerts 는 종속성에서 맬웨어를 식별하여 프로젝트와 해당 사용자를 보호하는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

Dependabot alerts가 활성화된 저장소

이 기사에서

소프트웨어는 종종 다양한 원본의 패키지에 의존하여 프로젝트의 보안을 위협할 수 있는 종속성 관계를 만듭니다. 예를 들어 악의적인 행위자는 악성 패키지를 사용하여 맬웨어 공격을 실행하여 코드, 데이터, 사용자 및 참가자에 액세스할 수 있습니다.

프로젝트를 안전하게 Dependabot 유지하려면 알려진 악성 패키지에 대한 종속성을 확인한 다음 제안된 수정 단계를 사용하여 경고를 만들 수 있습니다.

          Dependabot가 malware alerts를 보낼 때

          Dependabot
          malware alerts 는 리포지토리의 기본 분기에 있는 패키지가 악성으로 플래그가 지정된 경우 보냅니다. 기존 종속성에 대한 경고는 새 권고 데이터가 도착할  때 패키지에GitHub Advisory Database.

알려진 악성 패키지를 추가하거나 알려진 악성 버전으로 패키지를 업데이트하는 커밋을 푸시할 때도 경고가 생성됩니다.

참고

내부 패키지의 에코시스템, 이름 및 버전이 악의적인 공용 패키지의 에코시스템, Dependabot 이름 및 버전과 일치하는 경우 오탐지 경고를 생성할 수 있습니다.

경고 내용

악의적인 종속성을 Dependabot 검색하면 malware alert 리포지토리의 Security and quality 탭에 표시됩니다. 각 경고에는 다음이 포함됩니다.

  • 영향을 받는 파일에 대한 링크
  • 패키지 이름, 영향을 받는 버전 및 패치된 버전(사용 가능한 경우)을 포함하여 악성 패키지에 대한 세부 정보
  • 수정 단계

가용성

현재 에코 Dependabot malware alerts 시스템의 패키지에 npm 사용할 수 있습니다.

경고 알림

기본적으로 GitHub 다음과 같은 사용자에게 새 경고에 대한 이메일 알림을 보냅니다.

  • 리포지토리에 대한 쓰기, 유지 관리 또는 관리자 권한 사용

  • 리포지토리를 감시하고 보안 경고 또는 리포지토리의 모든 활동에 대한 알림을 사용하도록 설정했습니다.

            GitHub.com에서는 기본 동작을 재정의할 수 있습니다. 받을 알림 유형을 선택하거나, 사용자 알림의 설정 페이지 [https://github.com/settings/notifications](https://github.com/settings/notifications)에서 알림을 완전히 끌 수 있습니다.

너무 많은 알림을 받는 것이 우려되는 경우 위험 수준이 낮은 경고를 자동으로 해제하는 것이 좋습니다 Dependabot 자동 심사 규칙 . Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.

제한점

          Dependabot malware alerts 몇 가지 제한 사항이 있습니다.

  • 경고는 모든 보안 문제를 감지할 수 없습니다. 정확한 검색을 위해 항상 종속성을 검토하고 매니페스트 및 잠금 파일을 최신 상태로 유지합니다.

  • 새로운 맬웨어가 GitHub Advisory Database에 나타나고 경고를 발생시키기까지 시간이 걸릴 수 있습니다.

  • 리뷰를 완료한 GitHub 권고만이 경고를 발령합니다.

  •         Dependabot 는 보관된 리포지토리를 검사하지 않습니다.

  • GitHub Actions의 경우 SHA 버전 관리가 아닌 의미 체계 버전 관리 작업을 사용하는 작업에 대해서만 경고가 생성됩니다.

            GitHub 는 모든 리포지토리에 대한 악의적인 종속성을 공개적으로 공개하지 않습니다.

다음 단계

악의적인 종속성으로부터 프로젝트를 보호하려면 Dependabot 맬웨어 경고 구성을 참조하세요.