Configuración del envío automático de dependencias para el repositorio

Puede usar el envío automático de dependencias para enviar datos de dependencia transitiva en el repositorio. Esto le permite analizar estas dependencias transitivas mediante el gráfico de dependencias.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Prerrequisitos

El gráfico de dependencias debe estar habilitado para que el repositorio pueda habilitar el envío automático de dependencias.

También debe habilitar GitHub Actions para el repositorio con el fin de usar el envío automático de dependencias. Para más información, consulta Administración de la configuración de GitHub Actions para un repositorio.

Habilitación del envío automático de dependencias

Los administradores del repositorio pueden habilitar o deshabilitar el envío automático de dependencias para un repositorio siguiendo los pasos descritos en este procedimiento.

Los propietarios de la organización pueden habilitar el envío automático de dependencias para varios repositorios mediante una configuración de seguridad. Para más información, consulta Creación de una configuración de seguridad personalizada.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Gráfico de dependencias", haga clic en el menú desplegable situado junto a "Envío automático de dependencias" y seleccione Habilitado.

Una vez que haya habilitado el envío automático de dependencias para un repositorio, GitHub hará lo siguiente:

  • Búsqueda de inserciones en el repositorio.
  • Ejecuta la acción de compilación del gráfico de dependencias asociada al ecosistema de paquetes de los manifiestos del repositorio.
  • Realiza un envío automático de dependencias con los resultados.

Puede ver detalles sobre los flujos de trabajo automáticos ejecutados mediante la pestaña Acciones del repositorio.

Nota:

Después de habilitar el envío automático de dependencias, desencadenaremos automáticamente una ejecución de la acción. Una vez habilitado, se ejecutará cada vez que una confirmación en la rama predeterminada actualiza un manifiesto.

Acceso a registros privados con ejecutores autohospedados

Puede configurar ejecutores autohospedados para ejecutar trabajos de envío automático de dependencias, en lugar de usar la infraestructura deGitHub Actions. Es necesario para acceder a los registros privados de Maven. Los ejecutores autohospedados deben ejecutarse en Linux o macOS. Para la presentación automática de .NET y Python, deben tener acceso a la internet pública para descargar la última versión de detección de componentes.

  1. Aprovisione uno o más ejecutores de prueba interna en el nivel de repositorio u organización. Para más información, consulta Ejecutores autohospedados y Agrega ejecutores auto-hospedados.
  2. Asigne una etiqueta dependency-submission a cada ejecutor que quiera que use el envío automático de dependencias. Para más información, consulta Uso de etiquetas con ejecutores autohospedados.
  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.
  4. En "Gráfico de dependencias", haga clic en el menú desplegable situado junto a "Envío automático de dependencias" y seleccione Habilitado para ejecutores etiquetados.

Una vez habilitado, los trabajos de envío automático de dependencias se ejecutarán en los ejecutores autohospedados, a menos que:

  • Los ejecutores autohospedados no están disponibles.
  • No hay ningún grupo de ejecutores etiquetados con una etiqueta dependency-submission.

Nota:

En el caso de los proyectos de Maven o Gradle que usan ejecutores autohospedados con registros privados de Maven, debes modificar el archivo de configuración del servidor de Maven para permitir que los flujos de trabajo de envío de dependencias se conecten a los registros. Para obtener más información sobre el archivo de configuración del servidor de Maven, consulte Configuración de seguridad e implementación en la documentación de Maven.

Para ver las direcciones URL de la lista de autorizaciones de red, la configuración ampliada del ejecutor, los detalles de resolución de problemas y la información específica sobre el ecosistema de paquetes, consulte Envío automático de dependencias.

Lectura adicional

  •         [AUTOTITLE](/code-security/reference/supply-chain-security/automatic-dependency-submission)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api)