깃허브 dependency-submission 개념 및 Dependency submission failed 에러 해결

1. 개념

깃허브 dependency-submission 란 프로젝트에 대한 종속성을 깃허브 서버에 제출하는 것. 이를 통해 소프트웨어가 컴파일되거나 빌드될 때 확인된 종속성 등의 종속성을 GitHub의 종속성 그래프 기능에 추가하여 프로젝트의 모든 종속성을 보다 완벽하게 파악할 수 있다.

 

(Gemini 정리)

가. "무엇을" 저장하는가?

• 여러분의 프로젝트가 사용하는 모든 외부 라이브러리(종속성)의 목록과 정확한 버전입니다.
• 예시: "이 프로젝트는 Spring v2.7.0과 log4j v2.17.0을 사용하고 있다."

나. "왜" 저장하는가? (보안 목적)

• 지속적인 위험 감시를 위해서입니다.
• 개발자가 매일 수백 개의 라이브러리에서 발생하는 보안 뉴스를 다 따라갈 수는 없습니다.
• GitHub은 여러분이 제출한 종속성 목록을 서버에 저장해 두고, **전 세계에서 새로 발견되는 소프트웨어 취약점 목록(CVE)**과 24시간 비교 분석합니다.

다. "무슨 일"이 생기는가?

• 🚨 보안 경고 (Dependabot Alert) 발생!
• 만약 GitHub이 "어제, 당신이 사용하는 라이브러리 log4j v2.17.0에서 치명적인 보안 구멍이 발견되었습니다!"라는 사실을 알게 되면, 즉시 저장된 기록을 확인하고 해당 프로젝트 사용자에게 **경고(Alert)**를 보냅니다.
• 이는 프로젝트의 안전을 위해 선제적으로 취약점을 알려주는 서비스입니다.

따라서 dependency-submission은 단순한 데이터 저장이라기보다는, GitHub의 자동 보안 감시 서비스를 받기 위해 프로젝트의 종속성 정보를 제공하는 행위라고 이해하시면 가장 정확합니다.

 

 

2. 에러 트러블슈팅

가. 문제

깃허브 액션 dependency-submission 수행 중 다음과 같은 에러가 발생했다.

BUILD SUCCESSFUL in 55s 1 actionable task: 1 executed Found dependency graph files: /home/runner/work/docker-test1/docker-test1/dependency-graph-reports/java_ci_with_gradle-dependency-submission.json Uploading dependency graph file: dependency-graph-reports/java_ci_with_gradle-dependency-submission.json Artifact name is valid! Root directory input is valid! Beginning upload of artifact content to blob storage Uploaded bytes 4576 Finished uploading artifact content to blob storage! SHA256 hash of uploaded artifact zip is dd3b3969c3152616747e9cfa21e155f220af90bf4657ae70b17c27ea5d370889 Finalizing artifact upload Artifact dependency-graph_java_ci_with_gradle-dependency-submission.json.zip successfully finalized. Artifact ID 4462376337 Error: HttpError: Dependency submission failed for dependency-graph-reports/java_ci_with_gradle-dependency-submission.json. The Dependency graph is disabled for this repository. Please enable it before submitting snapshots. HttpError: Dependency submission failed for dependency-graph-reports/java_ci_with_gradle-dependency-submission.json. The Dependency graph is disabled for this repository. Please enable it before submitting snapshots. at /home/runner/work/_actions/gradle/actions/af1da67850ed9a4cedd57bfd976089dd991e2582/dist/dependency-submission/main/index.js:57939:21 at process.processTicksAndRejections (node:internal/process/task_queues:95:5) at async submitDependencyGraphFile (/home/runner/work/_actions/gradle/actions/af1da67850ed9a4cedd57bfd976089dd991e2582/dist/dependency-submission/main/index.js:156223:22) at async submitDependencyGraphs (/home/runner/work/_actions/gradle/actions/af1da67850ed9a4cedd57bfd976089dd991e2582/dist/dependency-submission/main/index.js:156196:13) at async findAndSubmitDependencyGraphs (/home/runner/work/_actions/gradle/actions/af1da67850ed9a4cedd57bfd976089dd991e2582/dist/dependency-submission/main/index.js:156119:9) at async Object.complete (/home/runner/work/_actions/gradle/actions/af1da67850ed9a4cedd57bfd976089dd991e2582/dist/dependency-submission/main/index.js:156089:17) at async run (/home/runner/work/_actions/gradle/actions/af1da67850ed9a4cedd57bfd976089dd991e2582/dist/dependency-submission/main/index.js:154110:9)

 

나. 해결

저장소에서 Dependency graph 기능이 활성화되지 않아서 발생한 문제이며,

아래와 같이 해당 리포지토리의 Settings 메뉴에서 Dependency graph 활성화(Enable) 버튼을 눌러주면 된다.