Configuration de l’envoi automatique des dépendances pour votre dépôt

Vous pouvez envoyer des données de dépendance transitives dans votre dépôt à l’aide de l’envoi automatique des dépendances. Ainsi, vous pouvez analyser ces dépendances transitives à l’aide du graphique des dépendances.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

Prerequisites

Le graphique des dépendances doit être activé afin que le dépôt vous permette d’activer l’envoi automatique des dépendances.

Pour utiliser l’envoi automatique de dépendances, vous devez également activer GitHub Actions pour le référentiel. Pour plus d’informations, consultez « Gestion des paramètres de GitHub Actions pour un référentiel ».

Remarque

Pour les écosystèmes qui prennent en charge les tâches de graphe Dependabot, vous n'avez pas besoin d'activer la soumission automatique des dépendances. Dependabot Les travaux de graphe s’exécutent automatiquement lorsque le graphique de dépendance est activé pour votre référentiel et qu’ils sont prioritaires sur la soumission automatique de dépendances. Consultez « Comment le graphique de dépendances reconnaît les dépendances ».

Activation de l’envoi automatique des dépendances

Les administrateurs de dépôt peuvent activer ou désactiver l’envoi automatique des dépendances pour un dépôt en suivant les étapes décrites dans cette procédure.

Les propriétaires d’organisation peuvent activer l’envoi automatique des dépendances pour plusieurs dépôts à l’aide d’une configuration de sécurité. Pour plus d’informations, consultez « Création d’une configuration de sécurité personnalisée ».

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « Graphique des dépendances », cliquez sur le menu déroulant en regard d’« Envoi automatique des dépendances », puis sélectionnez Activé.

Une fois que vous avez activé la soumission automatique de dépendances pour un référentiel, GitHub effectue les actions suivantes :

  • surveille les envois vers le dépôt ;
  • exécute l’action de génération du graphique des dépendances associée à l’écosystème de packages pour tous les manifestes du dépôt ;
  • effectue un envoi automatique des dépendances avec les résultats.

Vous pouvez afficher des détails sur les flux de travail automatiques exécutés en consultant l’onglet Actions de votre dépôt.

Remarque

Une fois que vous avez activé l’envoi automatique des dépendances, nous déclenchons automatiquement une exécution de l’action. Une fois l’activation effectuée, elle s’exécute chaque fois qu’une validation sur la branche par défaut met à jour un manifeste.

Accès aux registres privés

Utilisation des secrets de Dependabot

Pour les écosystèmes qui prennent en charge Dependabot les travaux de graphe, vous pouvez configurer l’accès aux registres privés en utilisant Dependabot des secrets à l’échelle de l’organisation ou du référentiel.

Lorsque Dependabot les travaux de graphe rencontrent des packages privés qui ne sont pas accessibles via des secrets configurés, ces packages sont omis correctement à partir du graphique de dépendances sans provoquer de défaillance.

Pour plus d’informations sur la configuration de l’accès au Registre privé, consultez Configuration de l’accès aux registres privés pour Dependabot.

Utilisation d’exécuteurs auto-hébergés

Vous pouvez configurer des exécuteurs auto-hébergés pour exécuter des travaux de soumission de dépendances automatiques, au lieu d’utiliser l’infrastructure GitHub Actions . Il est nécessaire d'avoir accès à des registres privés pour les écosystèmes qui ne prennent pas en charge Dependabot les travaux de graphe, ou lorsque vos registres sont seulement accessibles depuis votre réseau. Les exécuteurs auto-hébergés doivent s’exécuter sous Linux ou macOS. Pour la soumission automatique de .NET et Python, ils doivent disposer d'un accès à Internet public afin de télécharger la dernière version du détecteur de composants.

  1. Approvisionnez un ou plusieurs exécuteurs auto-hébergés au niveau du dépôt ou de l’organisation. Pour plus d’informations, consultez « Exécuteurs auto-hébergés » et « Ajout d’exécuteurs auto-hébergés ».
  2. Affectez une étiquette dependency-submission à chaque exécuteur que vous souhaitez utiliser pour l’envoi automatique des dépendances. Pour plus d’informations, consultez « Utilisation d’étiquettes avec des exécuteurs auto-hébergés ».
  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
  4. Sous « Graphe des dépendances », cliquez sur le menu déroulant en regard de « Soumission automatique des dépendances », puis sélectionnez Activé pour les coureurs étiquetés.

Une fois l’activation effectuée, les tâches d’envoi automatique des dépendances s’exécutent sur les exécuteurs auto-hébergés, sauf si :

  • les exécuteurs auto-hébergés ne sont pas disponibles ;
  • aucun groupe d’exécuteurs n’est marqué avec une étiquette dependency-submission.

Remarque

Pour les projets Maven ou Gradle qui utilisent des exécuteurs auto-hébergés avec des registres Maven privés, vous devez modifier le fichier de paramètres du serveur Maven afin d’autoriser les flux de travail d’envoi des dépendances à se connecter aux registres. Pour en savoir plus sur le fichier de paramètres du serveur Maven, consultez Paramètres de sécurité et de déploiement dans la documentation Maven.

Pour obtenir des URL de liste autorisée réseau, une configuration étendue de l’exécuteur, des détails de résolution des problèmes et des informations spécifiques à l’écosystème de packages, consultez Envoi automatique des dépendances.

Lectures complémentaires