[GIT] github 보안 취약점 알림 해결방법

[We found potential security vulnerabilities in your dependencies 문제 해결하기]

 

몇 달 전부터 github에서 같은 내용의 메일이 몇 개 날라왔다.

처음 메일이 왔을 때 바로 해결했어야 했는데.. 바쁘다는 핑계로 모른 척 하고 있다가 드디어 해결해보려고 한다.

 

메일의 내용은 아래와 같다.

그리고 깃헙에서 해당 리포지포리를 확인해보면 아래와 같은 경고가 떠있는 것을 확인할 수 있다.

즉, 너가 쓰는 라이브러리에서 취약점이 발견되었으니, 업데이트해! 라고 알려주는 내용이다.

 

See Dependabot alerts 버튼을 클릭해보면

이렇게 어떤 항목들에서 보안이 취약한지 목록으로 쭉 보여준다.

 

(검색해보니 보안 취약 문제가 나타나는 원인들은 다 다른데, 그 중 pakage-lock.json이나 pakage.json에서 문제가 되는 경우가 제일 많은 것 같았다.)

 

[해결방법]

> 첫 번째 방법 - dependency bot 이용하기 (터미널 사용이 무서운 쫄보(나)를 위한 방법)

이 방법은 깃헙에서 반자동(?)으로 라이브러리의 버전을 수정하고, push하는 방법이다.

 

1. 위 목록들을 클릭하면 아래 이미지와 같은 화면이 나오는데, create Dependabot security update 버튼을 클릭한다.

2. 그럼 해당 버전이 x.x.x이니 다른 버전으로 변경하라는 문구와 함께 변경할 수 있는 버튼이 나타난다.

    Review security update 버튼 클릭

3. 깃헙이 알아서 버전을 올려주니 Merge pull request 버튼을 클릭한다.

어피치가 가리키고 있는 버튼 클릭..ㅎ

4. Confirm merge 버튼을 클릭하면 깃헙이 커밋메세지도 알아서 작성한 후 push까지 해준다.

어피치가 가리키고 있는 버튼 클릭..ㅎ

5. 성공적으로 push가 된 모습.

 

이렇게 보안이 취약한 항목들을 하나하나 바꿔주는 방법이 있다.

아니면 프로젝트에 들어가서 문제가 되는 라이브러리의 버전을 다 확인하고 올려줘도 상관 없다!

그러나 하나씩 말고 전체적으로 한 번에 버전을 올려주고 push를 하고싶다? 그럴 땐 터미널을 이용하면 된다.

 

> 두 번째 방법 - 터미널을 사용한 방법

그런데 나는 이미 첫 번째 방법으로 문제를 해결해버려서.... 터미널로는 해결해볼 수가.. 없었다...ㅋㅋ쿠ㅜㅜㅜ

터미널로 해결하면 편하겠지만, 나는 왜 이런 문제가 발생하는지, 어떤 원리(?)로 문제가 해결되는지가 궁금해서 하나하나 버전을 수정해가면서 해결을 했다.

 

사실 해당 내용을 검색했을 때 80% 이상의 블로그에서 터미널을 이용해 해결하는 방법을 설명하고 있으므로....

나는 패스..ㅎㅎㅎㅎ

나중에 또 해당 문제가 발생하면 그 땐 터미널로 해봐야지...ㅎㅎ

 

**참고로 해당 문제에 대해 잘 설명해 놓은 블로그가 있는 것 같아 링크를 남겨 놓는다.

https://velog.io/@ye-ji/GitHub-We-found-potential-security-vulnerabilities-in-your-Dependencies