GitHub Actions ランナーの Dependabot について

リポジトリで GitHub Actions が有効になっている場合、GitHub は Dependabot のプル要求を生成するジョブを GitHub Actions で自動的に実行します。 Dependabot が有効になっている場合、これらのジョブはリポジトリまたは Organization レベルで設定された Actions ポリシー チェックや無効化をバイパスして実行されます。

この機能を使用できるユーザーについて

GitHub Actions の Dependabot は、GitHub Actions が有効になっているすべてのリポジトリに対して既定で有効になっています

この記事で

GitHub Actions ランナーの Dependabot について

重要

Dependabot は、リポジトリで有効になっている場合は、常に GitHub Actions で実行され、リポジトリまたは Organization レベルでの Actions ポリシー チェックと無効化の両方をバイパスします。 これにより、Dependabot が有効になっているときは、常にセキュリティとバージョンの更新ワークフローが常に実行されるようになります。

GitHub Actions ランナーを使用すると、Dependabot ジョブのエラーをより簡単に特定し、失敗した実行を手動で検出してトラブルシューティングできるようになります。 また、Dependabot を CI/CD パイプラインに統合して、GitHub Actions API や Webhook を使用してジョブの失敗などの状態を検出し、後続の処理を実行することもできます。 詳細については、「GitHub Actionsの REST API エンドポイント」および「Webhook のイベントとペイロード」を参照してください。

次のいずれかに該当する場合、ユーザー アカウントまたは組織で作成した新しいリポジトリは、標準の GitHubホストランナーを使用してGitHub Actions で Dependabot を実行するように自動的に構成されます。

  • Dependabot がインストールされて有効になっており、GitHub Actions が有効になっており使用されている。
  • Organization の [GitHub Actions ランナーの Dependabot] 設定が有効になっている。

GitHub の今後のリリースでは、GitHub Actions での Dependabot の実行を無効にする機能が削除される予定です。

メモ

GitHub Actions で Dependabot を有効にすると、アカウントで実行される同時実行ジョブの数が増える可能性があります。 Enterprise プランのお客様は、必要に応じて、同時実行ジョブの上限を上げることを要求できます。 詳細については、GitHub Support ポータル にアクセスするか、営業担当者にお問い合わせください。

ランナー オプション

Dependabot は GitHub Actions で以下を使用して実行できます。

  •           **標準 GitHub-ホスト ランナー。** これらは、"GitHub" が "GitHub Actions" ジョブを実行するために使用するデフォルトのランナーです。

  •           **より大きなランナー。** これらは GitHub でホストされているランナーであり、RAM、CPU、ディスク容量の増強など高度な仕様になっています。 詳しくは、「[AUTOTITLE](/actions/using-github-hosted-runners/about-larger-runners)」をご覧ください。

  •           **セルフホステッド ランナー。** これらのランナーを使用することで、プライベート レジストリおよび内部ネットワーク リソースへの Dependabot アクセスをより高度に制御できます。 セキュリティ上の理由から、セルフホステッド ランナーの Dependabot updates は、パブリック レポジトリでは実行されません。 セルフホステッド ランナーに `dependabot` ラベルを割り当てる方法の詳細については、「[AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configure-on-self-hosted-runners)」を参照してください。

標準の GitHub ホステッドまたはセルフホステッドのランナーで Dependabot を実行しても、使用分は GitHub Actions の月間分にはカウントされません。 より大きなランナー (larger runner) の Dependabot、GitHub は、通常の料金でお客様の組織に請求します。 「アクションズ ランナーの価格」を参照してください。

データ リユーザブルズ.デペンダボット.vネット-アーク-ノート %}

ランナー設定がどのように相互に影響し合うか

GitHub Actions ランナーの Dependabot およびセルフホステッド ランナー設定の Dependabot は、相互に依存しています。

  • "セルフホステッド ランナーの Dependabot" を有効にすると、"Dependabot on GitHub Actions ランナー" も自動で有効になります。 "GitHub Actions ランナーの Dependabot" を無効にすると "セルフホステッド ランナーの Dependabot" も自動で無効になります。
  • 両方の設定が有効な場合、Dependabot ジョブは、標準の GitHub でホストされているランナーではなく、セルフホステッド ランナーまたは dependabot ラベルが付いた より大きなランナー (larger runner) のみで実行されます。

警告

両方の設定が有効になっているが、セルフホステッド ランナーやdependabot ラベルが付いた より大きなランナー (larger runner) が無い場合は、Dependabot ジョブは、無期限にキューに残ります。 "セルフホステッド ランナー の Dependabot" を有効にする前に、このラベルが付いたランナーが構成されていることを確認します。

アクセスおよびアクセス許可

GitHub Actions ランナーでの Dependabot の使用に移行し、Organization またはリポジトリのプライベート リソースへのアクセスを制限していると、許可された IP アドレスのリストの更新が必要になる場合があります。 たとえば現在、プライベート リソースへのアクセスを Dependabot が使用する IP アドレスに制限している場合は、meta API エンドポイントから取得した GitHub ホステッド ランナーの IP アドレスを使用するように許可リストを更新する必要があります。 詳しくは、「メタデータ用 REST API エンドポイント」をご覧ください。

企業内からアクションと再利用可能なワークフローのみを許可するようにポリシーを適用し、GitHub Actions で Dependabot を有効にすると、Dependabot は実行されません。 Dependabot をエンタープライズ アクションと再利用可能なワークフローで実行できるようにするには、GitHub によって作成されたアクションを許可するか、指定されたアクションと再利用可能なワークフローを許可するかを選択する必要があります。 詳しくは、「企業でGitHub Actionsのポリシーを適用する」をご覧ください。

次のステップ

GitHub Actions ランナーの Dependabot を有効にするには、「AUTOTITLE」および「AUTOTITLE」を参照してください。