Informationen zu Dependabot über GitHub Actions-Runner

GitHub führt automatisch die Jobs aus, die Dependabot Pull-Anforderungen für GitHub Actions generieren, wenn GitHub Actions für das Repository aktiviert sind. Wenn Dependabot aktiviert ist, werden diese Aufträge ausgeführt, indem Actions-Richtlinienüberprüfungen und -Deaktivierung auf Repository- oder Organisationsebene umgangen werden.

Wer kann dieses Feature verwenden?

Dependabot für GitHub Actions ist standardmäßig für alle Repositorys aktiviert, für die GitHub Actions aktiviert ist.

In diesem Artikel

Informationen zu Dependabot über GitHub Actions-Runner

Wichtig

Wenn Dependabot für ein Repository aktiviert ist, wird es immer in GitHub Actions ausgeführt, wobei die Actions-Richtlinienüberprüfungen und -Deaktivierung auf Repository- oder Organisationsebene umgangen werden. Dadurch wird sichergestellt, dass Workflows für Sicherheits- und Versionsupdates immer ausgeführt werden, wenn Dependabot aktiviert ist.

Anhand von GitHub Actions-Runnern können Sie Fehler in Dependabot-Jobs einfacher feststellen und fehlgeschlagene Ausführungen manuell erkennen und beheben. Sie können Dependabot anhand von GitHub Actions-APIs und Webhooks auch in Ihre CI/CD-Pipelines integrieren, um den Status von Dependabot-Jobs, wie z. B. fehlgeschlagene Ausführungen, zu erkennen und die nachgelagerte Verarbeitung vorzunehmen. Weitere Informationen findest du unter REST-API-Endpunkte für GitHub Actions und Webhook-Ereignisse und Webhook-Nutzlasten.

Neue Repositorys, die Sie in Ihrem Benutzerkonto oder in Ihrer Organisation erstellen, werden automatisch so konfiguriert, dass Dependabot auf GitHub Actions mit standardmäßigen, von GitHub gehosteten Runnern ausgeführt werden, wenn einer der folgenden Werte zutrifft:

  • Dependabot ist installiert und aktiviert, und GitHub Actions ist aktiviert und im Einsatz.
  • Die Einstellung „Dependabot über GitHub Actions Runner“ ist für deine Organisation aktiviert.

In zukünftigen Versionen von GitHub wird die Möglichkeit entfernt, die Ausführung von Dependabot für GitHub Actions zu deaktivieren.

Hinweis

Durch das Aktivieren von Dependabot für GitHub Actions kann die Anzahl der gleichzeitig ausgeführten Jobs in Ihrem Konto zunehmen. Bei Bedarf können Kunden in Enterprise-Plänen einen höheren Grenzwert für gleichzeitige Aufträge anfordern. Weitere Informationen erhalten Sie von uns über das GitHub-Supportportal oder von Ihren Vertriebsmitarbeitern.

Runner-Optionen

Sie können Dependabot auf GitHub Actions anwenden:

  •           **Von GitHub gehostete Standardrunner** Dies sind die Standard-Runner, die von GitHub verwendet werden, um GitHub Actions Jobs auszuführen.

  •           **Größere Runner.** Dies sind GitHub-gehostete Runner mit erweiterten Funktionen wie mehr RAM, mehr CPU und mehr Speicherplatz. Weitere Informationen finden Sie unter [AUTOTITLE](/actions/using-github-hosted-runners/about-larger-runners).

  •           **Selbstgehostete Runner.** Diese Runner gewähren Ihnen eine bessere Kontrolle über den Zugriff von Dependabot auf Ihre privaten Registrierungen und internen Netzwerkressourcen. Beachten Sie, dass aus Sicherheitsgründen Dependabot updates auf selbstgehosteten Runnern nicht in öffentlichen Repositories ausgeführt werden. Weitere Informationen zum Zuweisen einer `dependabot`-Bezeichnung für selbst gehostete Runner findest du unter [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configure-on-self-hosted-runners).

Das Ausführen von Dependabot auf standardmäßigen GitHub gehosteten oder selbst gehosteten Runnern wird nicht auf Ihre inkludierten GitHub Actions Minuten angerechnet. Für Dependabot auf größere Runner wird GitHub Ihrer Organisation den regulären Tarif in Rechnung stellen. Weitere Informationen findest du unter Actions Runner Preise.

Hinweis

Private Netzwerke werden mit einem virtuellen Azure-Netzwerk (VNet) oder dem Actions Runner Controller (ARC) für Dependabot in GitHub Actions unterstützt. Informationen findest du unter Einrichten von Dependabot für die Ausführung auf selbst gehosteten Aktionsrunnern mit dem Actions Runner Controller und Einrichten von Dependabot zum Ausführen auf von Github gehosteten Action Runnern unter Verwendung des Azure Private Network.

Interaktion der Runner-Einstellungen

Die Einstellungen Dependabot für GitHub Actions-Runner und Dependabot für selbstgehostete Runner sind voneinander abhängig:

  • Durch die Aktivierung von "Dependabot auf selbstgehosteten Runnern" wird automatisch "Dependabot auf GitHub Actions Runnern" aktiviert. Durch das Deaktivieren von "Dependabot auf GitHub Actions Runnern" wird automatisch "Dependabot auf selbstgehosteten Runnern" deaktiviert.
  • Wenn beide Einstellungen aktiviert sind, werden Dependabot-Aufträgen nur auf selbstgehosteten Runnern oder größere Runner mit einem dependabot-Label ausgeführt – nicht auf standardmäßigen GitHub-gehosteten Runnern.

Warnung

Wenn beide Einstellungen aktiviert sind, aber keine selbst gehosteten Runner oder größere Runner mit einer dependabot Bezeichnung verfügbar sind, bleiben Dependabot Aufträge auf unbestimmte Zeit in der Warteschlange. Stellen Sie sicher, dass Runners mit diesem Label konfiguriert sind, bevor Sie "Dependabot auf selbstgehosteten Runners" aktivieren.

Zugriff und Berechtigungen

Wenn Sie zum Einsatz von Dependabot über GitHub Actions-Runner übergehen und den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren. Wenn Sie z. B. den Zugriff auf Ihre privaten Ressourcen auf die von Dependabot verwendeten IP-Adressen beschränken, sollten Sie Ihre Zulassungsliste so aktualisieren, dass die vom Meta-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden. Weitere Informationen finden Sie unter REST-API-Endpunkte für Metadaten.

Nächste Schritte

Informationen zum Aktivieren von Dependabot für GitHub Actions-Runner finden Sie unter Konfigurieren von Dependabot auf GitHub-gehosteten Runnern und Konfigurieren von Dependabot für selbst gehostete Läufer.