Dependabot 보안 경고, 2년 후 아카이브 저장
2026년 8월 25일부터 GitHub에서 Dependabot 보안 경고 데이터 보존 정책을 도입하여 데이터 접근성 명확화 예정
열린 경고(Open Alerts)는 계정 수명 주기 동안 UI 및 API에서 계속 접근 가능
닫힌 경고(Closed Alerts)는 닫은 후 2년간 UI 및 API에서 접근 가능하며, 이후 아카이브 스토리지(Archival Storage)로 이동됨
아카이브된 경고는 CSV 형태로 다운로드 가능하며, 계정 삭제 시 데이터는 즉시 제거됨
Dependabot 보안 경고 데이터 보존 정책 상세
2026년 8월 25일부터 적용되는 Dependabot 보안 경고 데이터 보존 정책은 GitHub Enterprise Cloud(GHEC)를 포함한 github.com 환경에 적용됨. 열린 경고(Open Alerts)는 계정 수명 주기 동안 UI 및 API에서 계속 접근 가능하지만, 닫힌 경고(Closed Alerts)는 닫은 시점으로부터 2년까지만 UI 및 API에서 접근 가능함. 2년이 지난 경고는 아카이브 스토리지(Archival Storage)로 이동되며, CSV 형태로 다운로드할 수 있음. 이는 데이터 접근성(Data Accessibility)을 명확히 하고 관리 효율성을 높이기 위한 조치임. 계정, 조직, 리포지토리 삭제 시 또는 엔터프라이즈 계약 종료 시 데이터는 즉시 제거됨.
아카이브 스토리지 및 데이터 복구
2년 이상 경과하여 아카이브 스토리지로 이동된 Dependabot 보안 경고 데이터는 계정 수명 주기 동안 원본 그대로 보존됨. 엔터프라이즈, 조직, 리포지토리 관리자 및 보안 관리자는 보안 경고 페이지에서 CSV 파일 형태로 다운로드할 수 있음. 이는 규제 요구사항(Regulatory Requirements) 충족을 위한 기록 보관 지원 목적을 가짐. GitHub Enterprise Cloud의 데이터 상주(Data Residency) 기능 사용 시에도 아카이브된 경고 데이터는 기존 데이터와 동일한 리전(Region)에 저장되어 데이터 위치 변경은 없음.
정책 변경 시점 및 영향 분석
본 정책은 Dependabot을 시작으로 점진적으로 다른 보안 경고 유형에도 적용될 예정임. 2026년 8월 25일 이후, 2년 이상 경과된 닫힌 Dependabot 경고는 UI 및 API에서 사라지므로, 해당 데이터를 활용하는 기존 쿼리(Existing Queries)를 검토하고 다운로드 가능한 아카이브 활용 계획을 미리 세워야 함. GitHub는 변경 사항 적용 최소 60일 전에 변경 내용을 공지할 예정이며, 정확한 적용 시점은 조율 중임. 이는 데이터 관리 정책의 표준화를 위한 단계로 볼 수 있음.