Sobre o Dependabot em executores do GitHub Actions

GitHub executa automaticamente os trabalhos que geram pull requests do Dependabot em GitHub Actions se você tiver GitHub Actions habilitado para o repositório. Quando Dependabot estiver habilitado, esses trabalhos serão executados ignorando as verificações de política de ações e a desabilitação no nível do repositório ou da organização.

Quem pode usar esse recurso?

O Dependabot no GitHub Actions está habilitado por padrão para todos os repositórios para os quais o GitHub Actions está habilitado

Neste artigo

Sobre o Dependabot em executores do GitHub Actions

Importante

Se Dependabot estiver habilitado para um repositório, ele sempre será executado em GitHub Actions, ignorando as verificações de política de Ações e a desabilitação no nível do repositório ou da organização. Isso garante que os fluxos de trabalho de atualização de versão e segurança sempre sejam executados quando o Dependabot estiver habilitado.

O uso de executores do GitHub Actions permite identificar mais facilmente erros de trabalho do Dependabot e detectar e solucionar manualmente problemas de execuções com falha. Você também pode integrar o Dependabot em seus pipelines de CI/CD usando APIs e webhooks do GitHub Actions para detectar status de trabalho do Dependabot, como execuções com falha, e executar processamento downstream. Para saber mais, confira Endpoints da API REST para Ações do GitHub e Eventos e cargas de webhook.

Novos repositórios que você criar em sua conta de usuário ou em sua organização serão configurados automaticamente para executar Dependabot em GitHub Actions usando runners padrão hospedados por GitHub se qualquer uma das seguintes condições for verdadeira:

  • O Dependabot está instalado e habilitado e o GitHub Actions está habilitado e em uso.
  • A configuração "Dependabot em executores do GitHub Actions" para sua organização está habilitada.

Versões futuras do GitHub removerão a capacidade de desabilitar a execução do Dependabot no GitHub Actions.

Observação

Habilitar o Dependabot no GitHub Actions pode aumentar o número de trabalhos simultâneos executados em sua conta. Se necessário, os clientes em planos corporativos podem solicitar um limite mais alto para trabalhos simultâneos. Para obter mais informações, entre em contato conosco por meio do Portal de Suporte do GitHub ou entre em contato com seu representante de vendas.

Opções de executor

Você pode executar o Dependabot no GitHub Actions usando:

  •           **Executores padrão hospedados em GitHub.** Estes são os executores padrão usados por GitHub para executar trabalhos de GitHub Actions.

  •           **Executores avançados.** Estes são executores hospedados em GitHub com recursos avançados, como mais RAM, CPU e espaço em disco. Para saber mais, confira [AUTOTITLE](/actions/using-github-hosted-runners/about-larger-runners).

  •           **Executores auto-hospedados.** Esses executores concedem maior controle sobre o acesso a Dependabot aos seus registros privados e recursos de rede internos. Lembre-se de que, por questões de segurança, Dependabot updates em executores auto-hospedados não será executado em repositórios públicos. Para saber mais sobre como atribuir um rótulo `dependabot` em executores auto-hospedados, confira [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configure-on-self-hosted-runners).

Executar Dependabot em executores padrão hospedados por GitHub ou auto-hospedados não conta os minutos incluídos de GitHub Actions. Para Dependabot em executores avançados, GitHub cobrará sua organização com a taxa regular. Confira Precificação do executor de ações.

Observação

As redes privadas são compatíveis com uma VNet (Rede Virtual) do Azure ou com o ARC (Actions Runner Controller) para o Dependabot no GitHub Actions. Confira Configurando o Dependabot para execução em executores de ação auto-hospedados usando o Actions Runner Controller e Como configurar o Dependabot para ser executado em executores de ação hospedados pelo GitHub usando a Rede Privada do Azure.

Como as configurações do runner interagem

Os Dependabot em executores GitHub Actions e Dependabot em configurações de executores auto-hospedados são interdependentes:

  • Ao habilitar "Dependabot em executores auto-hospedados", você habilita automaticamente "Dependabot em executores GitHub Actions". Ao desabilitar "Dependabot em executores auto-hospedados", você desabilita automaticamente "Dependabot em executores auto-hospedados".
  • Quando ambas as configurações estão habilitadas, os trabalhos do Dependabot são executados apenas em executores auto-hospedados ou executores avançados com um rótulo dependabot, não em executores hospedados em GitHub padrão.

Aviso

Se ambas as configurações estiverem habilitadas, mas não houver executor auto-hospedado ou executores avançados com um rótulo dependabot disponível, os trabalhos Dependabot permanecerão na fila indefinidamente. Verifique se os executores com esse rótulo estão configurados antes de habilitar "Dependabot em executores auto-hospedados".

Acesso e permissões

Se você fizer a transição para o uso do Dependabot em executores do GitHub Actions e restringir o acesso aos recursos privados da sua organização ou do repositório, talvez seja necessário atualizar sua lista de endereços IP permitidos. Por exemplo, se você atualmente limita o acesso aos seus recursos privados aos endereços IP que Dependabot usa, atualize sua lista de permissões para usar os endereços IP de executores hospedados em GitHub originados do ponto de extremidade da meta API. Para saber mais, confira Pontos de extremidade da API REST para metadados.

Próximas etapas

Para habilitar Dependabot em executores GitHub Actions, confira Configurando o Dependabot em executores hospedados no GitHub e Configurar o Dependabot em executores auto-hospedados.