Sobre o Dependabot em executores auto-hospedados do GitHub Actions
Se você habilitar Dependabot em um novo repositório e tiver GitHub Actions habilitado, o Dependabot será executado em GitHub Actions por padrão.
Se você habilitar Dependabot em um novo repositório e tiver GitHub Actions desabilitado, o Dependabot será executado no aplicativo herdado no GitHub para executar Dependabot updates. Isso não fornece desempenho, visibilidade ou controle tão bom de trabalhos de Dependabot updates quanto GitHub Actions. Se você quiser usar o Dependabot com GitHub Actions, precisará garantir que o repositório habilite GitHub Actions, depois habilitar o "Dependabot on Actions runners" na página de "Code security" do repositório. Para obter mais informações, confira Sobre o Dependabot em executores do GitHub Actions.
Note
Versões futuras de GitHub sempre executarão Dependabot usando GitHub Actions e você não terá mais a opção de habilitar ou desabilitar essa configuração.
Você pode ajudar os usuários da sua organização e dos repositórios a criar e manter códigos seguros configurando atualizações de segurança e versão do Dependabot. Com Dependabot updates, os desenvolvedores podem configurar repositórios para que suas dependências sejam atualizadas e mantidas seguras automaticamente. A execução do Dependabot no GitHub Actions permite um desempenho melhor e maior visibilidade e controle de trabalhos do Dependabot.
Note
O Dependabot não dá suporte ao uso de rede privada com uma VNET (Rede Virtual) do Azure ou o ARC (Actions Runner Controller).
Para ter maior controle sobre o acesso do Dependabot aos seus registros privados e recursos de rede interna, você pode configurar o Dependabot para ser executado em executores auto-hospedados do GitHub Actions.
Por motivos de segurança, ao executar o Dependabot em executores auto-hospedados do GitHub Actions, Dependabot updates não serão executadas em repositórios públicos.
Para obter mais informações sobre como configurar o acesso do Dependabot a registros privados ao usar executores hospedados pela GitHub, confira Diretrizes para a configuração de registros privados para o Dependabot. Para obter informações sobre quais ecossistemas têm suporte como registros privados, confira Removendo o acesso do Dependabot a registros públicos.
Pré-requisitos
Você deve ter o Dependabot instalado e habilitado e o GitHub Actions habilitado e em uso. A configuração "Dependabot em executores do GitHub Actions" para sua organização também deve estar habilitada. Para saber mais, confira Sobre o Dependabot em executores do GitHub Actions.
Sua organização pode ter configurado uma política para restringir a execução de ações e executores auto-hospedados em repositórios específicos, o que, por sua vez, não permitirá que o Dependabot seja executado em executores auto-hospedados do GitHub Actions. Nesse caso, a configuração de nível de organização ou repositório para habilitar "Dependabot em executores auto-hospedados" não ficará visível na interface do usuário da Web. Para saber mais, confira Desabilitar ou limitar o GitHub Actions para sua organização.
Configurar executores auto-hospedados para Dependabot updates
Depois de configurar sua organização ou repositório para executar o Dependabot no GitHub Actions e antes de habilitar o Dependabot em executores auto-hospedados, você precisa configurar executores auto-hospedados para Dependabot updates.
Requisitos do sistema para executores de Dependabot
Qualquer máquina virtual (VM) que você usar para executores de Dependabot deve atender aos requisitos para executores auto-hospedados. Além disso, eles têm de cumprir os seguintes requisitos.
-
Sistema operacional Linux
-
Arquitetura x64
-
Docker instalado com acesso para os usuários do executor:
- Recomendamos instalar o Docker no modo sem raiz e configurar os executores para acessar o Docker sem privilégios
root
. - Como alternativa, instale o Docker e dê aos usuários do executor privilégios elevados para executar o Docker.
- Recomendamos instalar o Docker no modo sem raiz e configurar os executores para acessar o Docker sem privilégios
Os requisitos de CPU e memória dependerão do número de executores simultâneos que você implanta em uma determinada VM. Como orientação, criamos de forma bem-sucedida 20 executores em uma única máquina CPU de 8 GB, mas, em última análise, seus requisitos de CPU e memória dependerão fortemente da atualização dos repositórios. Alguns ecossistemas exigirão mais recursos do que outros.
Se você especificar mais de 14 executores simultâneos em uma VM, também precisará atualizar a configuração /etc/docker/daemon.json
do Docker para aumentar o número padrão de redes que o Docker pode criar.
{
"default-address-pools": [
{"base":"10.10.0.0/16","size":24}
]
}
Requisitos da rede para executores de Dependabot
Os executores de Dependabot exigem acesso à internet pública, GitHub.com e a todos os registros internos que serão usados nas atualizações do Dependabot updates. Para minimizar o risco para sua rede interna, você deve limitar o acesso da Máquina Virtual (VM) à sua rede interna. Isto reduz o potencial de danos nos sistemas internos se um executor fizer o download de uma dependência capturada.
Você também precisa permitir o tráfego de saída para dependabot-actions.githubapp.com
, a fim de impedir a falha dos trabalhos das Dependabot security updates. Para saber mais, confira Sobre executores auto-hospedados.
Configuração de certificado para executores de Dependabot
Se o Dependabot precisar interagir com registros que usam certificados autoassinados, esses certificados também deverão ser instalados nos executores auto-hospedados que executam trabalhos do Dependabot. Essa segurança fortalece a conexão. Você também deve configurar o Node.js para usar o certificado, pois a maioria das ações são escritas em JavaScript e são executadas usando Node.js, que não usa o repositório de certificados do sistema operacional.
Adicionar executores auto-hospedados para atualizações de Dependabot
-
Prover executores auto-hospedados, no nível do repositório ou da organização. Para saber mais, confira Sobre executores auto-hospedados e Adicionar executores auto-hospedados.
-
Configure os executores auto-hospedados com os requisitos descritos acima. Por exemplo, em uma VM que executa o Ubuntu 20.04, você faz o seguinte:
- Instale o Docker e certifique-se de que os usuários do executor tenham acesso ao Docker. Para obter mais informações, consulte a documentação do Docker.
- Instalar o mecanismo do Docker no Ubuntu
- Abordagem recomendada: executar o daemon do Docker como um usuário não raiz (modo sem raiz)
- Abordagem alternativa: gerenciar o Docker como um usuário não raiz
- Verifique se os executores têm acesso à internet pública e só podem acessar as redes internas de que Dependabot precisa.
- Instale todos os certificados autoassinados para registros com os quais o Dependabot precisará interagir.
- Instale o Docker e certifique-se de que os usuários do executor tenham acesso ao Docker. Para obter mais informações, consulte a documentação do Docker.
-
Atribua um rótulo
dependabot
a cada executor que deseja que o Dependabot use. Para saber mais, confira Usar rótulos com os executores auto-hospedados. -
Opcionalmente, habilite os fluxos de trabalho acionados por Dependabot para usar permissões além das permissões somente leitura e ter acesso a todos os segredos que estão normalmente disponíveis. Para saber mais, confira Solução de problemas do Dependabot no GitHub Actions.
Habilitar executores auto-hospedados para Dependabot updates
Depois de configurar executores auto-hospedados para Dependabot updates, você pode habilitar ou desabilitar Dependabot updates em executores auto-hospedados no nível da organização ou repositório.
Observe que desabilitar e habilitar novamente as configurações de "Dependabot em executores auto-hospedados" do GitHub Actions" não acionará uma nova execução do Dependabot.
Habilitar ou desabilitar seu repositório
Você pode gerenciar o Dependabot em executores auto-hospedados para o seu repositório privado.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Security" da barra lateral, clique em Code security.
-
Em "Dependabot", à direita de "Dependabot em executores auto-hospedados", clique em Habilitar para habilitar o recurso ou em Desabilitar para desabilitá-lo.
Habilitar ou desabilitar em sua organização
Você pode habilitar o Dependabot em executores auto-hospedados para todos os repositórios privados existentes em uma organização. Somente os repositórios já configurados para executar o Dependabot no GitHub Actions serão atualizados para executar o Dependabot em executores auto-hospedados na próxima vez que um trabalho do Dependabot for acionado.
Note
Você precisará habilitar executores auto-hospedados para sua organização se usar executores avançados. Para saber mais, confira Sobre o Dependabot em executores do GitHub Actions.
- No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
- Ao lado da organização, clique em Configurações.
- Na seção "Segurança" da barra lateral, clique em Segurança de código e, em seguida, em Configurações globais.
- Em "Dependabot", selecione "Dependabot em executores auto-hospedados" para habilitar o recurso ou desmarque-o para desabilitá-lo. Essa ação habilita ou desabilita o recurso para todos os novos repositórios na organização.
Para saber mais, confira Configurações de segurança globais para sua organização.