dependabot core

dependencyabot의 공개 홈에 오신 것을 환영합니다.

• Didabot-Core란 무엇입니까?
• 의존봇을 실행하는 방법
• dependencyabot에 기여
  • 문제 및 기능 요청 보고
  • 풀 요청 제출
  • 새로운 생태계
• 개발 가이드
  • 개발 환경 실행하기
  • 디버깅 문제
  • 테스트 실행
  • 프로파일링
• 아키텍처 및 코드 레이아웃
• 상표
• 프로젝트 유지관리자를 위한 참고 사항

의존봇 코어(Dependabot-Core)는 의존봇 보안/버전 업데이트의 중심에 있는 라이브러리입니다.

이를 사용하여 Ruby, JavaScript, Python, PHP, Dart, Elixir, Elm, Go, Rust, Java 및 .NET으로 작성된 프로젝트의 종속성을 업데이트하는 자동화된 풀 요청을 생성할 수 있습니다. 또한 git 하위 모듈, Docker 파일 및 Terraform 파일을 업데이트할 수도 있습니다. 기능은 다음과 같습니다:

• 프로젝트의 다른 종속성을 고려하여 해결할 수 있는 최신 버전의 종속성을 확인하세요.
• 새로운 종속성 버전에 대해 업데이트된 매니페스트 및 잠금 파일 생성
• 업데이트된 종속성의 변경 로그, 릴리스 노트 및 커밋을 포함하는 PR 설명을 생성합니다.

대부분의 사람들은 GitHub.com 및 GitHub Enterprise에서 실행되는 종속봇 서비스에 익숙합니다. 이를 활성화하는 것은 저장소의 .github 디렉터리에 있는 dependabot.yml 구성 파일을 확인하는 것만큼 간단합니다.

그러나 사용자 정의 버전의 Didabot을 실행하거나 다른 플랫폼에서 실행하려는 경우에도 어려움을 겪을 수는 없습니다. 이 리포지토리는 자체 독립형 dependencyabot을 호스팅하는 데 필요한 논리를 제공합니다. 현재 GitHub, Github Enterprise, Azure DevOps, GitLab, BitBucket 및 AWS CodeCommit에서 호스팅되는 리포지토리에 대한 끌어오기 요청 열기를 지원합니다.

Didabot-Core는 라이브러리이므로 일종의 진입점 스크립트가 필요합니다. 다음은 시작하는 데 도움이 되는 몇 가지 예입니다.

참고: 개발/디버깅 목적으로 로컬에서 Didabot을 실행하려는 경우 개발 가이드를 참조하세요.

dependencyabot-script 저장소는 종속봇-Core 라이브러리 구성을 위한 예제 스크립트 모음을 제공합니다. 이는 고급 사용자가 자신의 프로젝트 내에서 자체 호스팅 버전의 Didabot을 실행하기 위한 출발점으로 사용됩니다.

참고: 우리는 최근에 Didabot Core 라이브러리 내에서 사용되는 모놀리식 도커 이미지를 생태계당 하나의 이미지로 리팩터링했습니다. 안타깝게도 이로 인해 dependencyabot-script가 손상되었으며 아직 업데이트할 시간이 없었습니다. 우리는 문제를 인지하고 있으며 곧 해결책을 제공할 수 있기를 바랍니다.

dependencyabot CLI는 독립 실행형 사용 사례에 대해 최종적으로 dependabot-script 대체할 수 있는 최신 도구입니다. 종속성 diff를 생성하는 동안 현재 해당 diff를 실제 PR로 변환하는 논리가 누락되어 있습니다. 그럼에도 불구하고 이 내용은 Sendabot을 해킹하는 방법에 대한 예를 찾는 고급 사용자에게 유용할 수 있습니다.

GitHub와 같이 Sendabot이 컨테이너에서 실행되는 환경에서, Sendabot의 검사 여부에 따라 빌드나 설치 과정을 변경하고 싶다면 DEPENDABOT 환경 변수의 유무로 판단하면 됩니다.

dependencyabot에 대한 피드백을 제공하거나 기여하고 싶으십니까? 훌륭해요 - 정말 감사합니다!

대부분의 버그 보고서에는 문제를 재현하는 공개 저장소에 대한 링크가 함께 제공되어야 합니다. CLI 도구 또는 테스트 실행 스크립트를 사용하여 공개 저장소에 재현할 수 없는 버그 보고서는 "재현할 수 없음"으로 종료될 수 있습니다.

우리의 이슈 트래커는 활발히 활동하고 있으므로 누군가 이미 동일한 이슈를 제출했을 가능성이 높습니다. 그렇다면 해당 문제를 찬성해주세요. 우리는 ? 기능 요청이나 버그의 영향을 측정하기 위한 하나의 신호로 문제에 대한 반응을 표시합니다.

그러나 토론에 전혀 새로운 기여를 하지 않는 댓글은 남기지 마십시오. 자세한 내용은 https://github.com/golang/go/wiki/NoPlusOne을 참조하세요. 이것은 오픈 소스입니다. 수정하고 싶은 부분이 있으면 풀 요청을 통해 수정하도록 도와드리겠습니다.

문제 추적기는 종속봇의 업데이트 논리와 관련된 문제에만 사용됩니다. 보안 경고 또는 종속성 그래프에 관한 문제는 대신 코드 보안 토론으로 제출해야 합니다.

경험상 PR의 차이점 에 대한 질문이 있으면 여기에 속한다는 것입니다.

Sendabot에서 보안 취약점을 발견했다고 생각되면 GitHub Bug Bounty 프로그램에 공개하는 방법에 대한 자세한 내용을 보안 정책에서 검토하세요. 그러면 문제가 공개되기 전에 문제를 해결하기 위해 노력할 수 있습니다.

dependencyabot에 기여하고 싶으십니까? 훌륭해요 - 정말 고마워요!

기여 워크플로:

1. 프로젝트를 포크하십시오.
2. 개발 환경을 실행해 보세요.
3. 기능을 추가하거나 버그를 수정하세요.
4. 이에 대한 테스트를 추가하십시오. 이는 중요하므로 향후 버전에서 실수로 깨지지 않도록 하세요.
5. 끌어오기 요청을 보냅니다. 테스트는 자동으로 실행되므로 로컬에서 실행할 수 없더라도 걱정하지 마세요.

자세한 내용은 CONTRIBUTING 가이드라인을 참조하세요.

새로운 생태계에 대한 지원에 관심이 있다면 기여 지침을 참조하여 자세한 내용을 확인하세요.

문제를 디버깅하거나 새로운 기능을 작성하는 첫 번째 단계는 개발 환경을 구축하는 것입니다. 우리는 필요한 모든 종속성을 굽는 맞춤형 Docker 기반 개발자 셸을 제공합니다. 대부분의 경우 이것이 프로젝트 작업에 가장 좋은 방법입니다.

개발자 셸은 볼륨 마운트를 사용하여 로컬 변경 사항을 종속봇의 소스 코드에 통합합니다. 이렇게 하면 즐겨 사용하는 편집기를 사용하여 로컬에서 편집할 수 있으며 변경 사항은 테스트 실행 또는 테스트 실행을 위해 Docker 컨테이너 내에 즉시 반영됩니다. 참고: 기본 패키지 관리자 도우미 스크립트 편집에 대한 주의 사항을 참조하세요.

개발자 셸을 시작하는 스크립트는 로컬에서 도커 이미지를 찾을 수 없는 경우 처음부터 Docker 이미지를 빌드합니다. 시간이 좀 걸릴 수 있습니다.

작업하려는 생태계에 대해 사전 구축된 이미지를 가져와서 대기 시간을 건너뛰세요. 이미지 이름은 YAML 생태계 이름을 사용하여 생태계를 지정합니다. 예를 들어 Go 모듈의 경우 YAML 이름은 gomod 입니다.

$ docker pull ghcr.io/dependabot/dependabot-updater-gomod

참고: 사전 구축된 이미지는 현재 AMD64/Intel 아키텍처에서만 사용할 수 있습니다. ARM에서 실행 되지만 ARM 관련 이미지를 수동으로 빌드하는 경우보다 2배~3배 느립니다.

그런 다음 개발자 셸을 실행하고 이 프로젝트에 있는 생태계의 최상위 디렉터리 이름을 사용하여 원하는 생태계를 지정합니다. 예를 들어 Go 모듈의 경우 최상위 디렉터리 이름은 go_modules 입니다.

$ bin/docker-dev-shell go_modules
= > running docker development shell
[dependabot-core-dev] ~ $ cd go_modules && rspec spec # to run tests for a particular package

일반적으로 빠른 시작만 있으면 충분하지만 경우에 따라 기본 이미지를 다시 빌드해야 할 수도 있습니다.

예를 들어 아직 ARM 관련 이미지를 게시하지는 않지만 ARM 기반 플랫폼에서 작업 하는 경우 결과 컨테이너가 훨씬 빠르게 실행되므로 이미지를 수동으로 빌드하는 것이 좋습니다.

개발자 셸은 생태계 이미지 위에 구축된 종속봇 개발 도커 이미지 내에서 실행됩니다.

 흐름도 LR
    A["docker-dev-shell script"] --> B("Dependabot 개발 도커 이미지")
    B --> C("Dependabot Updater 생태계 도커 이미지(생태계별)")
    C --> D("Dependabot Updater 코어 도커 이미지")

이러한 이미지에 대한 Docker 파일을 변경하려면 개발 셸에 반영하기 위해 하나 이상의 이미지를 로컬로 빌드해야 합니다.

간단하지만 느린 방법은 기존 이미지를 삭제한 다음 누락된 이미지를 자동으로 빌드하는 bin/docker-dev-shell 실행하는 것입니다.

더 빠른 방법은 실제로 빌드해야 하는 이미지의 종속성인 사전 빌드된 이미지를 모두 가져오는 것입니다. 특정 항목을 (재)구축하려면:

• 업데이터 코어 이미지:

  $ docker pull ghcr.io/dependabot/dependabot-updater-core # OR
  $ docker build -f Dockerfile.updater-core . # recommended on ARM

• 업데이터 생태계 이미지:

  $ docker pull ghcr.io/dependabot/dependabot-updater-gomod # OR
  $ script/build go_modules # recommended on ARM

• --rebuild 플래그를 사용하는 개발 컨테이너:

  $ bin/docker-dev-shell go_modules --rebuild

여러 의존성 패키지는 호스트 언어로 된 작은 실행 파일인 '네이티브 도우미'를 사용합니다.

이러한 파일의 변경 사항은 개발 컨테이너 내부에 자동으로 반영되지 않습니다.

도우미 파일을 편집한 후에는 적절한 빌드 스크립트를 실행하여 다음과 같은 변경 사항으로 설치된 버전을 업데이트하세요.

$ bin/docker-dev-shell bundler
= > running docker development shell
$ bundler/helpers/v2/build
$ bin/dry-run.rb bundler dependabot/demo --dir= " /ruby "

네이티브 패키지 관리자 도우미에서 로그 및 stdout을 보려면 네이티브 도우미 디버깅을 참조하세요.

디버깅의 첫 번째 단계는 개발 환경을 실행하는 것입니다.

개발 환경 내에는 종속성 업데이트 작업을 시뮬레이션하기 위한 두 가지 옵션이 있습니다. 새로 개발된 CLI 도구 또는 원본 Dry-run 스크립트를 사용할 수 있습니다.

Sendabot CLI는 GitHub Credentials Proxy를 통합하여 개인 레지스트리와 통신할 때 Sendabot-at-GitHub 서비스 내에서 발생하는 상황을 보다 현실적으로 시뮬레이션하는 새로 개발된 도구입니다.

Ruby 디버거에 대한 지원을 포함하여 전용 디버깅 가이드가 있습니다.

참고: 테스트 실행 스크립트를 실행하기 전에 개발 환경을 실행해야 합니다.

bin/dry-run.rb 스크립트를 사용하여 종속성 업데이트 작업을 시뮬레이션하고 터미널에 생성될 diff를 인쇄할 수 있습니다. 패키지 관리자와 GitHub 저장소 이름(계정 포함)이라는 두 가지 위치 인수를 사용합니다.

$ bin/docker-dev-shell go_modules
= > running docker development shell
$ bin/dry-run.rb go_modules rsc/quote
= > fetching dependency files
= > parsing dependency files
= > updating 2 dependencies
...

Dry-Run 스크립트는 다른 많은 옵션을 지원하며 모든 옵션은 스크립트 소스 코드 상단에 설명되어 있습니다. 예를 들어:

1. LOCAL_GITHUB_ACCESS_TOKEN="fake-GitHub-PAT" 사용하면 GitHub PAT(개인 액세스 토큰)를 지정하여 속도 제한을 피할 수 있습니다.
2. --dir="path/to/subdir/containing/manifest 는 매니페스트 파일이 하위 디렉터리에 있는 경우 필요합니다.
3. --dep="dep-name-that-I-want-to-test" 사용하면 단일 dep를 지정하여 업데이트를 시도할 수 있으며 나머지는 모두 무시됩니다.
4. --cache=files 하면 로컬 논리 변경 사항을 테스트할 때 더 빠른 재실행을 위해 원격 dep 파일을 로컬로 캐싱할 수 있습니다.
5. --updater-options=feature_flag_name 하면 기능 플래그를 전달할 수 있습니다.

다음은 이 모든 것을 함께 묶는 방법에 대한 예입니다.

  LOCAL_GITHUB_ACCESS_TOKEN=github_pat_123_fake_string 
  bin/dry-run.rb docker jeffwidman/secrets-store-driver 
  --dir " /manifest_staging/charts/secrets-store-provider " 
  --cache=files 
  --dep= " secrets-store " 
  --updater-options=kubernetes_updates

Ruby 코드의 어느 위치에나 debugger 문을 추가할 수 있습니다. 예를 들면 다음과 같습니다.

      def latest_resolvable_version
        debugger
        latest_version_finder . latest_version
      end

작업을 실행하면 Ruby 디버거가 열립니다. 다음과 같아야 합니다.

 [ 11 , 20 ] in ~/ go_modules / lib / dependabot / go_modules / update_checker . rb
    11 |   module GoModules
    12 |     class UpdateChecker < Dependabot :: UpdateCheckers :: Base
    13 |       require_relative "update_checker/latest_version_finder"
    14 |
    15 |       def latest_resolvable_version
=>  16 |         debugger
    17 |         latest_version_finder . latest_version
    18 |       end
    19 |
    20 |       # This is currently used to short-circuit latest_resolvable_version,
=> #0    Dependabot::GoModules::UpdateChecker#latest_resolvable_version at ~/go_modules/lib/dependabot/go_modules/update_checker.rb:16
  #1    Dependabot::GoModules::UpdateChecker#latest_version at ~/go_modules/lib/dependabot/go_modules/update_checker.rb:24
  # and 9 frames (use `bt' command for all frames)
( rdbg )

이 프롬프트에서 디버거 명령을 실행하여 탐색하거나 메서드 및 변수를 입력하여 포함된 내용을 확인할 수 있습니다. dependency 입력하여 현재 Didabot이 어떤 종속성을 작업하고 있는지 확인하세요.

참고 디버거에 있는 동안 소스 코드에 대한 변경 사항은 선택되지 않습니다. 디버깅 세션을 종료하고 다시 시작해야 합니다.

문제를 디버깅할 때 별도의 프로세스에서 실행되는 이러한 스크립트 내부를 살펴봐야 하는 경우가 많습니다.

DEBUG_HELPERS=true 사용하여 기본 도우미의 모든 로그 문을 인쇄합니다.

DEBUG_HELPERS=true bin/dry-run.rb bundler dependabot/demo --dir= " /ruby "

DEBUG_FUNCTION=<function name> 사용하여 단일 네이티브 도우미 함수를 디버그하려면 실행을 일시 중지합니다. 이 함수는 기본 도우미 함수 이름(예: bundler/helpers/v2/lib/functions.rb 의 함수 중 하나)에 매핑됩니다.

이 함수가 실행될 때 debugger 삽입되어 bin/dry-run.rb 스크립트의 실행이 일시 중지되고 현재 업데이트 tmp 디렉터리가 그대로 유지되어 해당 디렉터리로 cd 이동하고 기본 도우미 함수를 직접 실행할 수 있습니다.

 DEBUG_FUNCTION=parsed_gemfile bin/dry-run.rb bundler dependabot/demo --dir= " /ruby "
= > fetching dependency files
= > dumping fetched dependency files: ./dry-run/dependabot/demo/ruby
= > parsing dependency files
$ cd /home/dependabot/dependabot-core/tmp/dependabot_TEMP/ruby && echo " { " function " : " parsed_gemfile " , " args " :{ " gemfile_name " : " Gemfile " , " lockfile_name " : " Gemfile.lock " , " dir " : " /home/dependabot/dependabot-core/tmp/dependabot_TEMP/ruby " }} " | BUNDLER_VERSION=1.17.3 BUNDLE_GEMFILE=/opt/bundler/v1/Gemfile GEM_HOME=/opt/bundler/v1/.bundle bundle exec ruby /opt/bundler/v1/run.rb

cd... 명령을 복사하고 실행합니다.

 cd /home/dependabot/dependabot-core/tmp/dependabot_TEMP/ruby && echo " { " function " : " parsed_gemfile " , " args " :{ " gemfile_name " : " Gemfile " , " lockfile_name " : " Gemfile.lock " , " dir " : " /home/dependabot/dependabot-core/tmp/dependabot_TEMP/ruby " }} " | BUNDLER_VERSION=1.17.3 BUNDLE_GEMFILE=/opt/bundler/v1/Gemfile GEM_HOME=/opt/bundler/v1/.bundle bundle exec ruby /opt/bundler/v1/run.rb

이는 parsed_gemfile 함수의 출력을 로그아웃해야 합니다:

 { "result" : [ { "name" : "business" , "requirement" : "~> 1.0.0" , "groups" : [ "default" ] , "source" : null , "type" : "runtime" } , { "name" : "uk_phone_numbers" , "requirement" : "~> 0.1.0" , "groups" : [ "default" ] , "source" : null , "type" : "runtime" } ] }

Ruby 소스 변경과 달리 호스트 시스템에서 네이티브 도우미 소스 코드를 변경하면 개발 컨테이너에 동기화되지 않습니다. 따라서 기본 도우미를 편집하는 데는 두 가지 선택 사항이 있습니다.

• 개발 컨테이너 내에서 기본 도우미의 임시 복사본을 직접 편집할 수 있습니다(예: vi /opt/bundler/v1/lib/functions/file_parser.rb . 그런 다음 cd... 명령을 다시 실행하십시오. 이는 디버깅하는 가장 빠른 방법이지만 변경 사항은 컨테이너 외부에 저장되지 않습니다.
• 로컬 복사본을 편집한 다음 기본 도우미를 다시 빌드할 수 있습니다. 변경 사항을 적용하려면 테스트 실행 스크립트를 다시 실행해야 합니다.

Sendabot-Core 지원에 포함된 생태계 대부분은 사용자가 업그레이드에서 제외할 종속성 이름이나 버전을 지정할 수 있는 조건을 ignore . GitHub의 종속봇 서비스 문서에 이 기능이 더 자세히 설명되어 있습니다.

dependencyabot CLI는 작업 정의의 일부로 무시 조건 전달을 지원합니다. 예를 참조하세요.

테스트 실행 스크립트는 env var IGNORE_CONDITIONS 통해 하나 이상의 무시 조건 전달을 지원합니다.

IGNORE_CONDITIONS= ' [{"dependency-name":"*","update-types": ["version-update:semver-major"]}] ' 
bin/dry-run.rb docker test_org/test-dependabot `

Didabot-Core의 많은 생태계는 보안 업데이트를 지원합니다. 이는 종속성 이름과 취약한 버전의 범위가 전달되는 특별한 형태의 버전 업데이트입니다. dependencyabot-Core는 해당 종속성의 모든 인스턴스를 취약하지 않은 최소 버전으로 업그레이드하려고 시도합니다. 이는 최신 버전으로 업데이트를 시도하는 일반 버전 업데이트와 대조됩니다.

env var SECURITY_ADVISORIES 하면 보안 업데이트를 시뮬레이션하기 위해 하나 이상의 보안 경고 알림을 테스트 실행 스크립트에 전달할 수 있습니다.

SECURITY_ADVISORIES= ' [{"dependency-name":"buffer","patched-versions":[],"unaffected-versions":[],"affected-versions":["<= 2.0.0"]}] ' 
bin/dry-run.rb pub dart-lang/pub-dev --dir " /app " --cache=files --dep= " buffer "

Docker 컨테이너 내부에서 Visual Studio Code의 디버깅 기능을 활용하기 위한 지원이 기본적으로 제공됩니다. 권장되는 Dev Containers 확장 프로그램을 설치한 후 간단히 Ctrl+Shift+P (macOS에서는 ⇧⌘P )를 누르고 Dev Containers: Reopen in Container 선택하세요. 편집기 왼쪽 하단에 있는 녹색 버튼을 클릭하여 드롭다운에 액세스할 수도 있습니다. 개발 Docker 이미지가 머신에 없으면 자동으로 빌드됩니다. 완료되면 Debug Dry Run 구성 (F5) 을 시작하면 연습 실행을 수행할 패키지 관리자와 저장소를 선택하라는 메시지가 표시됩니다. 코드에 중단점을 자유롭게 배치하세요.

Debug Tests 구성 (F5) 을 실행하여 개별 테스트 실행을 디버깅하는 기능도 지원되며 에코시스템을 선택하고 rspec 경로를 제공하라는 메시지가 표시됩니다.

️ 원격 컨테이너 확장의 Clone Repository ... 명령에는 현재 일부 기능이 누락되어 지원되지 않습니다. 리포지토리를 수동으로 복제하고 Reopen in Container 또는 Open Folder in Container... 명령을 사용해야 합니다.

특정 생태계에 대한 개발 환경을 구축한 후에는 해당 생태계 폴더 내에서 rspec spec 실행하여 해당 생태계에 대한 테스트를 실행합니다.

$ cd go_modules
$ rspec spec

또한 작업 중인 파일로만 테스트를 제한하거나 이전에 실패한 테스트로만 제한할 수도 있습니다. 예를 들면 다음과 같습니다.

$ rspec spec/dependabot/file_updaters/elixir --only-failures

스타일은 RuboCop에 의해 시행됩니다. 스타일 위반을 확인하려면 각 패키지에서 rubocop 실행하면 됩니다. 예:

$ cd go_modules
$ rubocop

실행할 때 --profile 플래그를 전달하여 테스트 실행을 프로파일링하거나 :profile 사용하여 rspec 테스트에 태그를 지정할 수 있습니다. 그러면 tmp/ 폴더에 stackprof-<datetime>.dump 파일이 생성되고 다음을 실행하여 여기에서 Flamegraph를 생성할 수 있습니다.

stackprof --d3-flamegraph tmp/stackprof- < data or spec name > .dump > tmp/flamegraph.html

종속봇 코어(Dependabot-Core)는 여러 언어의 종속성을 업데이트하기 위한 논리를 포함하는 Ruby 패키지(보석) 모음입니다.

common 패키지에는 모든 범용/공유 기능이 포함되어 있습니다. 예를 들어, 지원되는 다양한 플랫폼에 대한 풀 요청을 생성하는 코드는 Git 종속성을 처리하기 위한 대부분의 논리와 마찬가지로(대부분의 언어가 어떤 방식으로든 Git 종속성을 지원하므로) 여기에 있습니다. 언어 또는 패키지 관리자에 대한 지원을 구현하는 데 필요한 각 주요 문제에 대해 정의된 기본 클래스도 있습니다.

dependencyabot이 지원하는 각 패키지 관리자 또는 언어에 대한 gem이 있습니다. 최소한 각 gem은 다음 클래스를 구현합니다:

상위 수준 흐름은 다음과 같습니다.

이것은 단순히 다른 모든 보석에 의존하는 "메타" 보석입니다. 모든 언어에 대한 지원을 자동으로 포함하려면 이 gem을 포함하면 필요한 모든 것을 얻을 수 있습니다.

많은 에코시스템에서 Sendabot-Core는 개인 레지스트리를 지원합니다. 때로는 개인 레지스트리 자격 증명을 기본 패키지 관리자( npm , pip , bundler 등)에 직접 전달하여 이런 일이 발생하기도 하고, 다른 경우에는 Sendabot-Core Ruby 코드 내에서 발생하기도 합니다.

 시퀀스 다이어그램
    개인 레지스트리 자격 증명->>Dependabot-Core:<br />
    Didabot-Core->>네이티브 패키지 관리자:<br />
    네이티브 패키지 관리자->>패키지 레지스트리:<br />
    Didabot-Core->>패키지 레지스트리:<br />

간단하고 간단하지만 이는 매니페스트 파일 내에서 신뢰할 수 없는 코드 실행을 허용하는 생태계에 대한 보안 위험입니다. 예를 들어 setup.py 및 .gemspec 사용하면 기본 Python 및 Ruby 코드를 실행할 수 있습니다. 종속성 트리의 패키지가 해킹되면 공격자는 기본 패키지 관리자가 자격 증명을 노출하도록 하는 악성 매니페스트를 푸시할 수 있습니다.

이를 방지하기 위해 Github이 실행하는 Sendepabot 서비스의 경우 개인 레지스트리 비밀이 Sendabot-Core에 노출되지 않도록 자격 증명 프록시로 Sendabot-Core를 래핑합니다.

 시퀀스 다이어그램
    Didabot-Core->>자격 증명 프록시: 모든 요청이 인증되지 않았습니다.
    자격 증명 프록시->>패키지 레지스트리: 자격 증명은 프록시에 의해 주입됩니다.
    Didabot-Core 왼쪽 참고: GitHub가 실행하는 Sendabot 서비스<br />
    패키지 레지스트리->>자격 증명 프록시: 자격 증명은 프록시에 의해 제거됩니다.
    자격 증명 프록시->>Dependabot-Core: 종속봇-Core는 개인 레지스트리 자격 증명을 보지 않습니다.

이는 또한 Didabot-Core에 보안 취약성이 있는 경우 해당 자격 증명이 여전히 노출될 위험이 없다는 것을 의미합니다.

이 프로젝트에는 프로젝트, 제품 또는 서비스에 대한 상표나 로고가 포함될 수 있습니다. GitHub 상표 또는 로고의 승인된 사용은 GitHub 로고 및 사용법을 준수해야 합니다. 이 프로젝트의 수정된 버전에서 GitHub 상표 또는 로고를 사용하면 혼동을 일으키거나 GitHub 후원을 암시해서는 안 됩니다. 제3자 상표 또는 로고의 사용에는 해당 제3자의 정책이 적용됩니다.

dependencyabot과 dependencyabot-core는 @hmarr와 @greysteil이 GoCardless에서 일하던 시절 Bump and Bump Core로 시작되었습니다.

의존봇은 2019년에 GitHub의 일부가 되었습니다!