Configuração do envio automático de dependência para o repositório

É possível usar o envio automático de dependência para enviar os dados de dependências transitivas do seu repositório. Isso possibilita a você analisar essas dependências transitivas ao usar o grafo de dependência.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Pré-requisitos

O grafo de dependência deve estar habilitado no repositório para que seja possível habilitar o envio automático de dependência.

Você também deve habilitar o GitHub Actions para o repositório a fim de usar o envio automático de dependências. Para obter mais informações, consulte Gerenciando configurações de GitHub Actions para um repositório.

Observação

Para ecossistemas que dão suporte a trabalhos de grafo Dependabot, você não precisa habilitar o envio automático de dependência. Dependabot os trabalhos de grafo são executados automaticamente quando o gráfico de dependências está habilitado para o repositório, e eles têm precedência sobre a submissão automática de dependências. Consulte Como o grafo de dependência reconhece dependências.

Como habilitar o envio automático de dependência

Os administradores de repositório podem habilitar ou desabilitar o envio automático de dependência para um repositório ao seguir as etapas descritas neste procedimento.

Os proprietários da organização podem habilitar o envio automático de dependência para múltiplos repositórios ao usar uma configuração de segurança. Para obter mais informações, consulte Criando uma configuração de segurança personalizada.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em “Grafo de dependência”, clique no menu suspenso próximo a “Envio automático de dependência” e, em seguida, selecione Habilitar.

Depois de habilitar o envio automático de dependência para um repositório, GitHub terá:

  • Observe os envios por push para o repositório.
  • Execute a ação de build do grafo de dependência associada ao ecossistema de pacotes para todos os manifestos no repositório.
  • Execute um envio automático de dependência a cada alteração.

É possível realizar a exibição de detalhes sobre a execução dos fluxos de trabalho automáticos ao exibir a guia Ações do seu repositório.

Observação

Após você habilitar o envio automático de dependência, dispararemos automaticamente uma execução da ação. Após habilitada, ela será executada sempre que um commit no branch padrão atualizar um manifesto.

Acessando registros privados

Usando Dependabot segredos

Para ecossistemas que dão suporte trabalhos de grafoDependabot, você pode configurar o acesso a registros privados usando segredos Dependabot no nível da organização ou do repositório.

Quando os trabalhos de grafo Dependabot encontram pacotes privados que não são acessíveis por meio de segredos configurados, esses pacotes são omissos de forma graciosa do grafo de dependência sem causar falhas.

Para obter mais informações sobre como configurar o acesso ao Registro Privado, consulte Configurando o acesso a registros privados para Dependabot.

Usando executores auto-hospedados

Você pode configurar executores auto-hospedados para executar tarefas de envio automático de dependências, em vez de usar a infraestrutura GitHub Actions. Isso é necessário para acessar registros privados para ecossistemas que não dão suporte a trabalhos de grafo Dependabot ou quando seus registros só podem ser acessados de dentro de sua rede. Os executores auto-hospedados devem estar em execução no Linux ou macOS. Para envio automático do .NET e Python, eles devem ter acesso à Internet pública para baixar a versão mais recente de detecção de componentes.

  1. Realize o provisionamento de um ou mais executores com auto-hospedagem, seja no nível do repositório ou da organização. Para obter mais informações, consulte Executores auto-hospedados e Adicionar executores auto-hospedados.
  2. Atribua um rótulo dependency-submission a cada executor que você deseja que o envio automático de dependência use. Para obter mais informações, consulte Usar rótulos com os executores auto-hospedados.
  3. Na seção "Security" da barra lateral, clique em Advanced Security.
  4. Em “Grafo de dependência”, clique no menu suspenso próximo a “Envio automático de dependência” e, em seguida, selecione Habilitado para executores rotulados.

Depois de habilitados, os trabalhos de envio automático de dependência serão executados nos executores com auto-hospedagem, exceto se:

  • Os executores com auto-hospedagem não estiverem disponíveis.
  • Não existirem grupos de executores marcados com um rótulo dependency-submission.

Observação

Para projetos Maven ou Gradle que usam executores auto-hospedados com registros Maven privados, você precisa modificar o arquivo de configurações do servidor Maven para permitir que os fluxos de trabalho de envio de dependências se conectem aos registros. Para obter mais informações sobre o arquivo de configurações do servidor do Maven, consulte Configurações de segurança e de implantação na documentação do Maven.

Para obter URLs de lista de permissões de rede, configuração de executor maior, detalhes de solução de problemas e informações específicas do ecossistema do pacote, consulte Envio automático de dependência.

Leitura adicional