이 버전의 GitHub Enterprise Server는 다음 날짜에 중단됩니다. 2026-03-17. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 더 뛰어난 성능, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise Server로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

Dependabot 끌어오기 요청에 대한 안내

버전 및 보안 업데이트에 대한 끌어오기 요청의 빈도 및 사용자 지정 옵션을 이해합니다.

이 문서의 내용

보안 업데이트에 대한 끌어오기 요청

보안 업데이트를 사용하도록 설정한 경우, 기본 분기의 종속성에 대해 Dependabot 경고가 발생하면 보안 업데이트를 위한 풀 요청이 트리거됩니다. Dependabot에서 취약한 종속성을 업데이트하기 위한 끌어오기 요청을 자동으로 수행합니다.

각 끌어오기 요청에는 제안된 수정 사항을 빠르고 안전하게 검토하고 프로젝트에 병합하는 데 필요한 모든 것이 포함되어 있습니다. 여기에는 릴리스 정보, 변경 로그 항목 및 커밋 세부 정보와 같은 취약성에 대한 정보가 포함됩니다. 리포지토리에 대한 Dependabot alerts에 액세스할 수 없는 모든 사람은 끌어오기 요청이 해결하는 취약성에 대한 세부 정보를 볼 수 없습니다.

보안 업데이트가 포함된 끌어오기 요청을 병합하면 해당 Dependabot 경고가 리포지토리에 대해 해결된 것으로 표시됩니다. Dependabot 풀 요청에 대한 자세한 내용은 종속성 업데이트에 대한 끌어오기 요청 관리를 참조하세요.

참고 항목

끌어오기 요청이 병합되기 전에 검사가 수행되도록 자동화된 테스트와 수락 프로세스를 마련하는 것이 좋습니다. 업그레이드할 제안된 버전에 추가 기능이 포함되어 있거나 프로젝트 코드를 중단하는 변경 내용이 포함된 경우 특히 중요합니다. 연속 통합에 대한 자세한 내용은 연속 통합을(를) 참조하세요.

보안 업데이트에 대한 끌어오기 요청 사용자 지정

프로젝트의 보안 우선순위 및 프로세스에 가장 적합하도록 Dependabot에서 보안 업데이트에 대한 끌어오기 요청을 생성하는 방법을 사용자 지정할 수 있습니다. 다음은 그 예입니다. * Dependabot 풀 리퀘스트 옵션을 최적화하여 여러 업데이트를 단일 풀 리퀘스트에 그룹화하고, 중요한 업데이트의 우선순위를 지정하세요.

  • 사용자 지정 레이블을 적용하여 Dependabot의 끌어오기 요청을 기존 워크플로에 통합합니다.

보안 업데이트 사용자 지정 옵션은 버전 업데이트와 마찬가지로 dependabot.yml 파일에 정의되어 있습니다. dependabot.yml 을 사용자 지정하여 버전 업데이트를 진행했다면, 설정한 구성 옵션의 대부분은 보안 업데이트에도 자동으로 적용될 수 있습니다. 그러나 다음과 같은 몇 가지 중요한 사항에 유의해야 합니다.

  • Dependabot security updates는 버전 업데이트를 위해 에 설정한 **** 에 따라 실행되는 것이 아니라 schedule``dependabot.yml.
  • Dependabot는 기본 분기에 대해서만 보안 업데이트에 대한 끌어오기 요청을 발생시킵니다. target-branch에 대한 값을 구성에서 설정하면, 해당 패키지 에코시스템에 대한 사용자 지정은 기본적으로 버전 업데이트에만 적용됩니다.

자세한 내용은 Dependabot 보안 업데이트에 대한 끌어오기 요청 사용자 지정을(를) 참조하세요.

버전 업데이트에 대한 끌어오기 요청

버전 업데이트의 경우 구성 파일에서 각 에코시스템에서 새 버전(매일, 매주 또는 매월)을 확인하는 빈도를 지정합니다.

버전 업데이트를 처음 사용하면 오래된 종속성이 많을 수 있으며 일부 종속성은 최신 버전보다 많이 이전 버전일 수 있습니다. 사용하면 Dependabot은 즉시 오래된 종속성을 확인합니다. 업데이트를 구성하는 매니페스트 파일의 수에 따라 구성 파일을 추가한 후 몇 분 내에 버전 업데이트에 대한 새 끌어오기 요청이 표시될 수 있습니다. Dependabot은 구성 파일의 후속 변경 내용에 대한 업데이트도 실행합니다.

끌어오기 요청을 관리하기 쉽고 검토하기 쉽도록 Dependabot은 최대 5개의 끌어오기 요청을 발생시키고 종속성을 최신 버전으로 가져오기 시작합니다. 다음으로 예약된 업데이트 전에 첫 번째 끌어오기 요청 중 일부를 병합하는 경우 다음 업데이트에서 나머지 끌어오기 요청이 최대치까지 열립니다. open-pull-requests-limit 구성 옵션을 설정하여 열려 있는 끌어오기 요청의 최대 수를 변경할 수 있습니다.

표시되는 끌어오기 요청 수를 더 줄이기 위해 groups 구성 옵션을 사용하여 종속성 집합을 함께 그룹화할 수 있습니다(패키지 에코시스템당). 그런 다음, Dependabot은 그룹에서 가능한 한 많은 종속성을 동시에 최신 버전으로 업데이트하는 단일 끌어오기 요청을 발생합니다. Dependabot의 버전 업데이트를 위한 끌어오기 요청 최적화하기에서 자세한 내용을 참조하세요.

Dependabot 끌어오기 요청에 대한 명령

Dependabot은 주석의 간단한 명령에 응답합니다. 각 끌어오기 요청에는 “Dependabot 명령 및 옵션” 섹션에서 끌어오기 요청을 처리하는 데 사용할 수 있는 명령의 세부 정보(예: 끌어오기 요청 병합, 스쿼시, 다시 열기, 닫기 또는 다시 지정)가 포함됩니다. 목표는 자동으로 생성된 끌어오기 요청을 최대한 쉽게 심사할 수 있도록 하는 것입니다. 자세한 내용은 Dependabot 풀 리퀘스트 코멘트 명령을(를) 참조하세요.