Pré-requisitos
O grafo de dependência deve estar habilitado no repositório para que seja possível habilitar o envio automático de dependência.
Você também deve habilitar o GitHub Actions} para o repositório com a finalidade de usar o envio automático de dependência. Para saber mais, confira Gerenciando configurações de GitHub Actions para um repositório.
Como habilitar o envio automático de dependência
Os administradores de repositório podem habilitar ou desabilitar o envio automático de dependência para um repositório ao seguir as etapas descritas neste procedimento.
Os proprietários da organização podem habilitar o envio automático de dependência para múltiplos repositórios ao usar uma configuração de segurança. Para saber mais, confira Criando uma configuração de segurança personalizada.
- Em “Grafo de dependência”, clique no menu suspenso próximo a “Envio automático de dependência” e, em seguida, selecione Habilitar.
Após habilitar o envio automático de dependência para um repositório, o GitHub irá:
- Observe os envios por push para o repositório.
- Execute a ação de build do grafo de dependência associada ao ecossistema de pacotes para todos os manifestos no repositório.
- Execute um envio automático de dependência a cada alteração.
É possível realizar a exibição de detalhes sobre a execução dos fluxos de trabalho automáticos ao exibir a guia Ações do seu repositório.
Observação
Após você habilitar o envio automático de dependência, dispararemos automaticamente uma execução da ação. Após habilitada, ela será executada sempre que um commit no branch padrão atualizar um manifesto.
Como acessar registros privados com executores auto-hospedados
É possível configurar executores com auto-hospedagem para realizar a execução de trabalhos de envio automático de dependência, em vez de usar a infraestrutura do GitHub Actions. Isso é necessário para acessar registros Maven privados. Os executores auto-hospedados devem estar em execução no Linux ou macOS. Para .NET e Python envio automático, eles devem ter acesso à Internet pública para baixar a versão mais recente de detecção de componentes.
-
Realize o provisionamento de um ou mais executores com auto-hospedagem, seja no nível do repositório ou da organização. Para saber mais, confira Executores auto-hospedados e Adicionar executores auto-hospedados.
-
Atribua um rótulo
dependency-submissiona cada executor que você deseja que o envio automático de dependência use. Para saber mais, confira Usar etiquetas com os runners auto-hospedados. -
Em “Grafo de dependência”, clique no menu suspenso próximo a “Envio automático de dependência” e, em seguida, selecione Habilitado para executores rotulados.
Depois de habilitados, os trabalhos de envio automático de dependência serão executados nos executores com auto-hospedagem, exceto se:
- Os executores com auto-hospedagem não estiverem disponíveis.
- Não existirem grupos de executores marcados com um rótulo
dependency-submission.
Observação
Para projetos Maven ou Gradle que usam executores auto-hospedados com registros Maven privados, você precisa modificar o arquivo de configurações do servidor Maven para permitir que os fluxos de trabalho de envio de dependências se conectem aos registros. Para obter mais informações sobre o arquivo de configurações do servidor do Maven, consulte Configurações de segurança e de implantação na documentação do Maven.
Para obter URLs de lista de permissões de rede, configuração de executor maior, detalhes de solução de problemas e informações específicas do ecossistema do pacote, consulte Envio automático de dependência.
Leitura adicional
-
[AUTOTITLE](/code-security/reference/supply-chain-security/automatic-dependency-submission) -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security) -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api)