| [[GitHub| | ||
| {{{#!wiki style="min-height: calc(1.5em + 5px); margin: 0 -10px -5px" {{{#!folding [ 펼치기 · 접기 ] {{{#!wiki style="margin: -5px -1px -11px" | <colbgcolor=#000,#000><colcolor=#fff,#fff> 관련 인물 | 톰 프레스턴 워너 |
| 서비스 | 저장소 · GitHub Pages · GitHub Action · GitHub Packages · Codespace(github.dev) · GitHub Wiki · GitHub Gist · Dependabot · GitHub Advisory Database · GitHub Copilot | |
| 클라이언트 | GitHub CLI · GitHub Desktop · GitHub Mobile | |
| 오픈 소스 | Electron(Atom) · Linguist · Semantic · Tree-sitter | |
| 관련 문서 | 사건 사고 · Octocat · GitHub Universe · One Dark · npm | |
| <colbgcolor=#0b66d5,#0b66d5><colcolor=#fff,#fff> Dependabot | |
| <nopad> | |
| 종류 | 종속성 관리 소프트웨어 보안 취약점 패치 소프트웨어 |
| 최초 개발자 | Grey Baker, Harry Marr |
| 개발 | GitHub |
| 출시 | 2021년 8월 3일 |
| 안정 버전 | v0.364.0 (2026년 3월 5일) |
| 개발 언어 | Ruby |
| 라이선스 | MIT 라이선스# |
| 링크 | |
1. 개요
GitHub 저장소 내의 종속성 업데이트를 관리하거나 보안 권고사항을 알리고 패치 PR을 생성하는 GitHub의 봇.이름은 늘어뜨리다를 뜻하는 라틴어 dēpendeō와 노동, 요역을 뜻하는 체코어 robota의 합성어에서 왔다.
2. 역사
2015년 Grey Baker와 Harry Marr이 bump를 개발하며 시작되었다.#2019년 GitHub 공식 프로젝트가 되었다.
2021년 8월 3일부터 dependabot preview 서비스가 종료되고 GitHub-native dependabot 서비스가 출시되었다.#
3. 특징
GitHub 자체에서 기본 제공되는 native dependabot 서비스가 가장 유명하지만, GHE에도 설정 가능하고 그 외 GitLab, BitBucket, Azure devops, CodeCommit 등에서도 PR 기능을 지원한다. 기본적으로 코어는 오픈소스기 때문에 가능한 일. 이외에도 레지스트리별 모듈화가 이루어져 있어서 직접 돌린다면 private 레지스트도 접근이 가능하다.# 가장 심플하게는 GitHub Action에 집어넣고 돌리는 방법이 있다.해당 라이브러리를 사용한 가장 간단한 구현체로 공식 CLI가 존재한다.
4. 기능
- 버전 업데이트: 종속성으로 쓰는 패키지의 새 버전이 릴리즈 되었을 때 자동으로 업데이트 PR을 생성하는 기능이다. 기본적으로 꺼져 있으며, 웬만큼 활발히 관리되는 프로젝트가 아닌 이상 대부분 귀찮기 때문에 끄는 게 좋다. renovate같이 다른 봇으로 대체도 가능하다.
- 보안 권고 알림: 별견되어 GitHub Advisory Database에 올라간 보안 취약점 중 해당 저장소에 영향을 끼치는 내용에 대해 알림을 남긴다. Dependabot이 남긴 각 저장소별 알림은
<저장소>/security/dependabot에서 볼 수 있다. - 보안 업데이트: 이런 보안 취약점이 있는 경우, 해당 취약점이 있는 종속성을 자동으로 업데이트하는 패치 PR을 작성한다.
5. 설정
저장소 내에.github/dependabot.yml의 YAML 설정 파일을 두어 설정이 가능하다. 지원되는 설정은 공식 문서에서 확인할 수 있다.종속성 중에 private 레지스트리에 올라간 게 있다면
registries 키 아래에 credential을 설정할 수 있다.#