Dependabot 기반 Go 의존성 그래프

Source: GitHub Changelog

Dependabot DGS for Go

공급망 보안이라는 주제로 패키지 생태계 지원을 지속적으로 개선함에 따라, 이제 Go 프로젝트는 의존성 그래프와 소프트웨어 자재 명세서(SBOM)에서 보다 완전하고 정확한 전이적 의존성 트리를 확인할 수 있게 됩니다.

동적 버전 해석

Go는 의존성 버전을 동적으로 해석하기 때문에, 프로젝트의 의존성을 정확히 파악하려면 정적 파싱에 의존할 수 없습니다.

새로운 Dependabot 작업

커밋이 프로젝트의 go.mod 파일을 업데이트하면 GitHub은 다음과 같은 새로운 유형의 Dependabot 작업을 실행합니다:

1. 의존성 스냅샷을 생성합니다.
2. 스냅샷을 Dependency Submission API에 업로드합니다.

혜택

• 액션‑분당 요금 없음 – 이 과정은 GitHub Actions 분당 비용을 발생시키지 않습니다.
• 조직 전체 구성 – 작업은 조직 전체에 걸쳐 Dependabot에 대해 구성한 프라이빗 레지스트리 설정에 접근할 수 있습니다.

자세히 보기

추가 세부 사항은 의존성 그래프 구성 문서를 참고하십시오.