GitHub MCP Server dependency scanning public preview: 커밋 전 의존성 취약점 점검

GitHub가 2026년 5월 5일 GitHub MCP Server의 dependency scanning public preview를 발표했습니다.

쉽게 말하면 AI 코딩 에이전트가 만든 변경사항을 커밋하거나 PR로 올리기 전에, 새로 추가되거나 바뀐 의존성에 알려진 취약점이 있는지 물어볼 수 있게 된 것입니다.

이 기능은 단독 보안 제품이라기보다, AI 코딩 워크플로 안으로 Dependabot 계열 점검이 들어오는 변화로 보는 편이 정확합니다.

무엇이 공개됐나

GitHub 설명 기준으로 이 기능은 GitHub MCP Server의 dependabot toolset에 포함됩니다.
사용자가 에이전트에게 “이번 브랜치에서 취약한 의존성이 있는지 확인해줘”라고 요청하면, MCP 도구가 의존성 정보를 GitHub Advisory Database와 대조하고 결과를 구조화해서 돌려줍니다.

결과에는 보통 이런 정보가 들어갑니다.

• 영향받는 패키지
• 취약점 심각도
• 권장 수정 버전
• 커밋 전 확인해야 할 변경사항

더 깊은 확인이 필요하면 Dependabot CLI를 로컬에서 실행해 변경 전후 의존성 그래프 차이를 비교하는 흐름도 지원합니다.

바로 보기

• GitHub 발표: https://github.blog/changelog/2026-05-05-dependency-scanning-with-github-mcp-server-is-in-public-preview/
• GitHub MCP Server: https://github.com/github/github-mcp-server
• GitHub Advisory Database: https://github.com/advisories

왜 AI 코딩 에이전트와 같이 봐야 하나

AI 코딩 에이전트는 패키지를 추가하는 일을 쉽게 합니다.
테스트 도구, SDK, UI 라이브러리, 배포 도구를 한 번에 붙이고 lockfile까지 갱신할 수 있습니다.

문제는 속도입니다.

사람이 직접 패키지를 고르면 이름, 유지보수 상태, 취약점, 다운로드 수를 한 번쯤 확인합니다. 반면 에이전트는 “동작하게 만들기”에 집중하다가 오래된 패키지나 취약한 버전을 가져올 수 있습니다.

그래서 커밋 전 의존성 스캔은 AI 코딩 시대에 더 중요해집니다.

• 새 패키지를 추가했을 때
• lockfile이 크게 바뀌었을 때
• 오래된 프로젝트에 자동 수정 작업을 맡겼을 때
• 보안 관련 패키지를 교체했을 때
• 에이전트가 package manager 명령을 실행했을 때

이런 상황에서는 테스트 통과만으로 충분하지 않습니다. 알려진 취약점 확인까지 같이 해야 합니다.

어떻게 켜나

GitHub 발표 기준으로 시작 흐름은 이렇습니다.

Copilot CLI에서는 GitHub MCP Server가 이미 포함되어 있고, 세션에서 다음 명령으로 dependabot toolset을 켤 수 있습니다.

copilot --add-github-mcp-toolset dependabot

Visual Studio Code에서는 GitHub MCP Server 헤더에 다음 값을 추가하거나, Copilot Chat의 toolset selector에서 Dependabot을 선택하는 방식이 안내됐습니다.

{
  "X-MCP-Toolsets": "dependabot"
}

더 맞춤화된 경험이 필요하면 advanced-security plugin을 설치하고 Copilot Chat에서 /dependency-scanning 흐름을 사용할 수 있습니다.

에이전트에게 이렇게 요청할 수 있다

실무에서는 긴 설명보다 한 줄 프롬프트를 습관화하는 편이 좋습니다.

이번 브랜치에서 추가되거나 변경된 의존성에 알려진 취약점이 있는지 확인하고, 업그레이드해야 할 패키지와 권장 버전을 정리해줘.

팀에서 쓴다면 PR 템플릿에도 체크 항목을 넣을 만합니다.

- [ ] 새 dependency 또는 lockfile 변경이 있는 경우 dependency scanning 확인

중요한 점은 이 기능이 테스트를 대체하지 않는다는 것입니다.
테스트는 “현재 코드가 깨졌는가”를 보고, dependency scanning은 “알려진 위험한 패키지를 들여왔는가”를 봅니다.

public preview라서 봐야 할 제한

이번 기능은 아직 public preview입니다.
또 GitHub 발표 기준으로 Dependabot alerts가 활성화된 저장소가 대상입니다.

따라서 바로 운영 규칙으로 넣기 전에 아래를 확인해야 합니다.

1. 저장소에서 Dependabot alerts가 켜져 있는가
2. 조직 정책상 MCP 서버 사용이 허용되는가
3. Copilot CLI나 VS Code의 MCP 설정이 팀원별로 일관적인가
4. 결과를 PR 필수 조건으로 둘지, 권장 점검으로 둘지

작은 팀이라면 처음부터 강제 게이트로 묶기보다, 패키지 변경이 있는 PR에서 수동 체크리스트로 시작하는 편이 현실적입니다.

한 줄 결론

GitHub MCP Server의 dependency scanning preview는 AI 코딩 에이전트가 만든 변경사항을 커밋 전에 보안 관점으로 한 번 더 묻는 흐름입니다.
Secret scanning과 함께 쓰면, 에이전트가 빠르게 만든 코드에서 자주 생기는 두 가지 위험인 노출된 키와 취약한 패키지를 더 앞단에서 잡을 수 있습니다.

같이 보면 좋은 글

• GitHub MCP Server Secret Scanning 정식 출시
• GitHub Copilot이 종량제로 간다
• aider vs Claude Code vs Codex CLI vs Gemini CLI

출처

• GitHub Changelog: Dependency scanning with GitHub MCP Server is in public preview
  https://github.blog/changelog/2026-05-05-dependency-scanning-with-github-mcp-server-is-in-public-preview/
• GitHub Docs: Configuring toolsets for the GitHub MCP Server
  https://docs.github.com/copilot/how-tos/provide-context/use-mcp/configure-toolsets