Konfigurieren der automatischen Abhängigkeitseinreichung für Ihr Repository

Sie können die automatische Abhängigkeitseinreichung verwenden, um transitive Abhängigkeitsdaten in Ihrem Repository zu übermitteln. Auf diese Weise können Sie diese transitiven Abhängigkeiten mithilfe der Abhängigkeitsdiagramm analysieren.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Voraussetzungen

Ein Abhängigkeitsdiagramm muss für das Repository aktiviert sein, damit Sie die automatische Abhängigkeitseinreichung aktivieren können.

Sie müssen auch GitHub Actions für das Repository aktivieren, um die automatische Abhängigkeitsübermittlung zu verwenden. Weitere Informationen finden Sie unter Einstellung der GitHub Actions für ein Repository verwalten.

Hinweis

Für Ökosysteme, die Dependabot Graph-Aufträge unterstützen, müssen Sie keine automatische Abhängigkeitsübermittlung aktivieren. Dependabot Diagrammaufträge werden automatisch ausgeführt, wenn das Abhängigkeitsdiagramm für Ihr Repository aktiviert ist und sie Vorrang vor der automatischen Abhängigkeitsübermittlung haben. Siehe Wie das Abhängigkeitsdiagramm Abhängigkeiten erkennt.

Aktivieren der automatischen Abhängigkeitseinreichung

Repository-Administratoren können die automatische Abhängigkeitseinreichung für ein Repository aktivieren oder deaktivieren, indem Sie die in diesem Verfahren beschriebenen Schritte ausführen.

Organisationsbesitzer können die automatische Abhängigkeitseinreichung für mehrere Repositorys mithilfe einer Sicherheitskonfiguration aktivieren. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Sicherheitskonfiguration.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicken Sie unter „Abhängigkeitsdiagramm“ auf das Dropdownmenü neben „Automatische Abhängigkeitseinreichung“ und wählen Sie dann Aktiviert aus.

Nachdem Sie die automatische Abhängigkeitsübermittlung für ein Repository aktiviert haben, wird GitHub Folgendes tun:

  • Achte auf Pushvorgänge an das Repository.
  • Führe die Buildaktion des Abhängigkeitsdiagramms, die dem Paketökosystem zugeordnet ist, für alle Manifeste im Repository aus.
  • Führe eine automatische Abhängigkeitsübermittlung mit den Ergebnissen durch.

Sie können Details zu den automatischen Workflows anzeigen, die ausgeführt werden, indem Sie die Registerkarte Aktionen Ihres Repositorys anzeigen.

Hinweis

Nachdem du die automatische Abhängigkeitsübermittlung aktiviert hast, lösen wir automatisch eine Ausführung der Aktion aus. Nach der Aktivierung wird sie jedes Mal ausgeführt, wenn ein Commit für den Standardbranch ein Manifest aktualisiert.

Zugreifen auf private Registrierungen

Verwenden von Dependabot geheimen Schlüsseln

Für Ökosysteme, die Graph-Aufträge unterstützen Dependabot , können Sie den Zugriff auf private Registrierungen mithilfe von Dependabot geheimen Schlüsseln auf Organisationsebene oder Repositoryebene konfigurieren.

Wenn Dependabot Diagrammaufträge auf private Pakete stoßen, auf die nicht über konfigurierte geheime Schlüssel zugegriffen werden kann, werden diese Pakete ordnungsgemäß aus dem Abhängigkeitsdiagramm weggelassen, ohne einen Fehler zu verursachen.

Weitere Informationen zum Konfigurieren des Zugriffs auf private Registrierung finden Sie unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

Verwenden von selbst gehosteten Läufern

Sie können selbstgehostete Runner so konfigurieren, dass automatische Abhängigkeitsübermittlungsaufträge ausgeführt werden, anstatt die GitHub Actions Infrastruktur zu verwenden. Dies ist erforderlich, um auf private Register für Ökosysteme zuzugreifen, die keine Graphaufträge unterstützen Dependabot oder wenn Ihre Registrierungen nur innerhalb Ihres Netzwerks erreichbar sind. Die selbst gehosteten Runner müssen unter Linux oder macOS ausgeführt werden. Für .NET und Python automatische Übermittlung müssen sie Zugriff auf das öffentliche Internet haben, um die neueste Komponentenerkennungsversion herunterzuladen.

  1. Bereitstellen eines oder mehrerer selbst gehosteter Runner auf Repository- oder Organisationsebene. Weitere Informationen findest du unter Selbstgehosteten Runnern und Selbst-gehostete Runner hinzufügen.
  2. Weisen Sie jedem Runner eine dependency-submission-Bezeichnung zu, die die automatische Abhängigkeitseinreichung verwenden soll. Weitere Informationen finden Sie unter Verwenden von Bezeichnungen mit selbstgehosteten Runnern.
  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.
  4. Klicken Sie unter "Abhängigkeitsdiagramm" auf das Dropdownmenü neben "Automatische Abhängigkeitsübermittlung", und wählen Sie dann "Für bezeichnete Läufer aktiviert" aus.

Nach der Aktivierung werden automatische Abhängigkeitseinreichungsaufträge auf den selbst gehosteten Runner ausgeführt, es sei denn:

  • Die selbst gehosteten Runner sind nicht verfügbar.
  • Es gibt keine Runner-Gruppen, die mit einer dependency-submission-Bezeichnung gekennzeichnet sind.

Hinweis

Für Maven- oder Gradle-Projekte, die selbstgehostete Runner mit privaten Maven-Registrierungen verwenden, musst du die Maven-Servereinstellungsdatei ändern, damit die Abhängigkeitsübermittlungsworkflows eine Verbindung mit den Registrierungen herstellen können. Weitere Informationen zur Maven-Servereinstellungsdatei finden Sie in der Maven-Dokumentation unter Sicherheits- und Bereitstellungseinstellungen.

Die URLs der Zulassungslisten für das Netzwerk, eine größere Runner-Konfiguration, Details zur Fehlerbehebung und paket-Ökosystemspezifische Informationen findest du unter Automatische Abhängigkeitsübermittlung.

Weiterführende Lektüre