Configuration de l’envoi automatique des dépendances pour votre dépôt

Vous pouvez envoyer des données de dépendance transitives dans votre dépôt à l’aide de l’envoi automatique des dépendances. Ainsi, vous pouvez analyser ces dépendances transitives à l’aide du graphique des dépendances.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

Prerequisites

Le graphique des dépendances doit être activé afin que le dépôt vous permette d’activer l’envoi automatique des dépendances.

Vous devez également activer les GitHub Actions pour le dépôt afin d’utiliser l’envoi automatique des dépendances. Pour plus d’informations, consultez « Gestion des paramètres de GitHub Actions pour un référentiel ».

Activation de l’envoi automatique des dépendances

Les administrateurs de dépôt peuvent activer ou désactiver l’envoi automatique des dépendances pour un dépôt en suivant les étapes décrites dans cette procédure.

Les propriétaires d’organisation peuvent activer l’envoi automatique des dépendances pour plusieurs dépôts à l’aide d’une configuration de sécurité. Pour plus d’informations, consultez « Création d’une configuration de sécurité personnalisée ».

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « Graphique des dépendances », cliquez sur le menu déroulant en regard d’« Envoi automatique des dépendances », puis sélectionnez Activé.

Une fois que vous avez activé l’envoi automatique des dépendances pour un dépôt, GitHub :

  • surveille les envois vers le dépôt ;
  • exécute l’action de génération du graphique des dépendances associée à l’écosystème de packages pour tous les manifestes du dépôt ;
  • effectue un envoi automatique des dépendances avec les résultats.

Vous pouvez afficher des détails sur les flux de travail automatiques exécutés en consultant l’onglet Actions de votre dépôt.

Remarque

Une fois que vous avez activé l’envoi automatique des dépendances, nous déclenchons automatiquement une exécution de l’action. Une fois l’activation effectuée, elle s’exécute chaque fois qu’une validation sur la branche par défaut met à jour un manifeste.

Accès à des registres privés avec des exécuteurs auto-hébergés

Vous pouvez configurer des exécuteurs auto-hébergés pour exécuter des tâches d’envoi automatique des dépendances, au lieu d’utiliser l’infrastructure GitHub Actions. Cela est nécessaire pour accéder aux registres Maven privés. Les exécuteurs auto-hébergés doivent s’exécuter sous Linux ou macOS. Pour la soumission automatique de .NET et Python, ils doivent disposer d'un accès à Internet public afin de télécharger la dernière version du détecteur de composants.

  1. Approvisionnez un ou plusieurs exécuteurs auto-hébergés au niveau du dépôt ou de l’organisation. Pour plus d’informations, consultez « Exécuteurs auto-hébergés » et « Ajout d’exécuteurs auto-hébergés ».
  2. Affectez une étiquette dependency-submission à chaque exécuteur que vous souhaitez utiliser pour l’envoi automatique des dépendances. Pour plus d’informations, consultez « Utilisation d’étiquettes avec des exécuteurs auto-hébergés ».
  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
  4. Sous « Graphique des dépendances », cliquez sur le menu déroulant en regard d’« Envoi automatique des dépendances », puis sélectionnez Activé pour les exécuteurs étiquetés.

Une fois l’activation effectuée, les tâches d’envoi automatique des dépendances s’exécutent sur les exécuteurs auto-hébergés, sauf si :

  • les exécuteurs auto-hébergés ne sont pas disponibles ;
  • aucun groupe d’exécuteurs n’est marqué avec une étiquette dependency-submission.

Remarque

Pour les projets Maven ou Gradle qui utilisent des exécuteurs auto-hébergés avec des registres Maven privés, vous devez modifier le fichier de paramètres du serveur Maven afin d’autoriser les flux de travail d’envoi des dépendances à se connecter aux registres. Pour en savoir plus sur le fichier de paramètres du serveur Maven, consultez Paramètres de sécurité et de déploiement dans la documentation Maven.

Pour obtenir des URL de liste autorisée réseau, une configuration étendue de l’exécuteur, des détails de résolution des problèmes et des informations spécifiques à l’écosystème de packages, consultez Envoi automatique des dépendances.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/reference/supply-chain-security/automatic-dependency-submission)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api)