{"meta":{"title":"끌어오기 요청에서 종속성 변경 검토","intro":"끌어오기 요청에 종속성 변경 내용이 포함된 경우 변경된 내용 및 종속성에 알려진 취약성이 있는지 여부에 대한 요약을 볼 수 있습니다.","product":"끌어오기 요청","breadcrumbs":[{"href":"/ko/pull-requests","title":"끌어오기 요청"},{"href":"/ko/pull-requests/collaborating-with-pull-requests","title":"끌어오기 요청 (Pull Request)을 통한 협업"},{"href":"/ko/pull-requests/collaborating-with-pull-requests/reviewing-changes-in-pull-requests","title":"변경 내용 검토"},{"href":"/ko/pull-requests/collaborating-with-pull-requests/reviewing-changes-in-pull-requests/reviewing-dependency-changes-in-a-pull-request","title":"종속성 변경 검토"}],"documentType":"article"},"body":"# 끌어오기 요청에서 종속성 변경 검토\n\n끌어오기 요청에 종속성 변경 내용이 포함된 경우 변경된 내용 및 종속성에 알려진 취약성이 있는지 여부에 대한 요약을 볼 수 있습니다.\n\n\n\n## 종속성 검토 정보\n\n종속성 검토는 모든 끌어오기 요청에서 종속성 변경 내용과 이러한 변경 내용의 보안 영향을 이해하는 데 도움이 됩니다. 끌어오기 요청의 “변경된 파일” 탭에서 서식 있는 Diff로 종속성 변경 내용을 쉽게 이해할 수 있습니다. 종속성 검토는 다음을 알려줍니다.\n\n* 릴리스 날짜와 함께 추가, 제거 또는 업데이트된 종속성\n* 이러한 구성 요소를 사용하는 프로젝트 수\n* 이러한 종속성에 대한 취약성 데이터\n\n종속성 검토를 사용하면 “왼쪽으로 이동”할 수 있습니다. 제공된 예측 정보를 사용하여 프로덕션에 도달하기 전에 취약한 종속성을 파악할 수 있습니다. 자세한 내용은 [종속성 검토](/ko/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review)을(를) 참조하세요.\n\n종속성 검토 작업을(를) 사용하여 리포지토리의 끌어오기 요청에 대한 종속성 검토를 적용할 수 있습니다. 종속성 검토 작업은 종속성 변경에 대한 pull request를 검색하고 새로운 종속성에 알려진 약점이 있는 경우 오류를 발생시킵니다. 이 작업은 두 수정 버전 간의 종속성을 비교하고 차이점을 보고하는 API 엔드포인트에서 지원됩니다.\n\n작업 및 API 엔드포인트에 대한 자세한 내용은 [`dependency-review-action`](https://github.com/actions/dependency-review-action) 설명서와 [종속성 검토에 대한 REST API 엔드포인트](/ko/rest/dependency-graph/dependency-review) 항목을 참조하세요.\n\n종속성 검토 작업을 구성하여 catch하려는 종속성 취약성 유형을 지정함으로써 요구 사항에 더욱 적합하게 맞출 수 있습니다. 자세한 내용은 [종속성 검토 작업 구성](/ko/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-review-action)을(를) 참조하세요.\n\n## 끌어오기 요청에서 종속성 검토\n\n1. 리포지토리 이름에서 ** Pull requests**를 클릭합니다.\n\n \n\n2. 끌어오기 요청 목록에서 검토하려는 끌어오기 요청을 클릭합니다.\n\n3. 끌어오기 요청에서 ** 파일 변경됨**을 클릭합니다.\n\n \n\n4. 끌어오기 요청에 많은 파일이 포함된 경우 **파일 필터** 드롭다운 메뉴를 사용하여 종속성을 기록하지 않는 모든 파일을 축소합니다. 이렇게 하면 종속성 변경 내용에 대한 검토에 더 쉽게 집중할 수 있습니다.\n\n\n종속성 검토를 사용하면 기본적으로 원본 차이가 렌더링되지 않는 큰 잠금 파일에서 변경된 내용을 좀 더 명확하게 볼 수 있습니다.\n\n> \\[!NOTE]\n> 커밋된 정적 `jquery.js` 등의 JavaScript 파일의 경우, 종속성 검토에서 형식화된 차이를 제공하지 않습니다.\n\n1. 매니페스트 또는 잠금 파일의 헤더 오른쪽에서 **** 을(를) 클릭하여 종속성 검토를 표시합니다.\n\n \n\n2. 종속성 검토에 나열된 종속성을 확인합니다.\n\n \n\n 취약성이 있는 추가되거나 변경된 종속성은 먼저 심각도에 따라 정렬된 다음 종속성 이름순으로 나열됩니다. 즉, 가장 높은 심각도 종속성은 항상 종속성 검토의 맨 위에 있습니다. 다른 종속성은 종속성 이름에 따라 사전순으로 나열됩니다.\n\n 각 종속성 옆에 있는 아이콘은 이 끌어오기 요청에서 종속성이 추가되었는지(), 업데이트되었는지(), 제거되었는지()를 나타냅니다.\n\n 기타 정보는 다음과 같습니다.\n\n * 새 종속성, 업데이트된 종속성, 삭제된 종속성의 버전 또는 버전 범위.\n * 종속성의 특정 버전의 경우:\n * 종속성 릴리스의 기간.\n * 이 소프트웨어에 종속된 프로젝트의 수. 이 정보는 종속성 그래프에서 가져옵니다. 종속성의 수를 확인하면 실수로 잘못된 종속성을 추가하는 것을 방지할 수 있습니다.\n * 이 정보를 사용할 수 있는 경우 이 종속성에서 사용하는 라이선스. 이 기능은 특정 라이선스가 있는 코드가 프로젝트에서 사용되는 것을 방지하려는 경우에 유용합니다.\n\n 종속성에 알려진 취약성이 있는 경우 경고 메시지에는 다음이 포함됩니다.\n\n * 취약성에 대한 간략한 설명.\n * CVE(Common Vulnerabilities and Exposures) 또는 GHSA(GitHub Security Advisories) ID 번호. 이 ID를 클릭하여 취약성에 대해 자세히 알아볼 수 있습니다.\n * 취약성의 심각도.\n * 취약성이 수정된 종속성의 버전. 다른 사용자에 대한 끌어오기 요청을 검토하는 경우 기여자에게 종속성을 패치된 버전 또는 이후 릴리스로 업데이트하도록 요청할 수 있습니다.\n\n3. 종속성을 변경하지 않는 매니페스트 또는 잠금 파일이 변경되거나, GitHub가 구문 분석할 수 없고 결과적으로 종속성 검토에 표시되지 않는 종속성이 있을 수 있으므로 원본 diff도 검토할 수 있습니다.\n\n 원본 diff 보기로 돌아가려면 **** 단추를 클릭합니다.\n\n "}