Gerenciamento de executores auto-hospedados para atualizações do Dependabot na sua empresa

Sobre executores auto-hospedados para Dependabot updates

É possível ajudar os usuários do sua instância do GitHub Enterprise Server a criar e manter o código seguro configurando as atualizações de segurança e de versão do Dependabot. Com Dependabot updates, os desenvolvedores podem configurar repositórios para que suas dependências sejam atualizadas e mantidas seguras automaticamente. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Para usar o Dependabot updates no sua instância do GitHub Enterprise Server, deve-se configurar executores auto-hospedados a fim de criar as solicitações de pull que atualizarão as dependências.

Pré-requisitos

A configuração de executores auto-hospedados é apenas uma etapa no meio do processo para ativar Dependabot updates. Há várias etapas a serem seguidas antes dessas, incluindo a configuração do sua instância do GitHub Enterprise Server para usar o GitHub Actions com executores auto-hospedados. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Configurar executores auto-hospedados para Dependabot updates

Requisitos do sistema para executores de Dependabot

Requisitos do sistema para os runners do Dependabot

Requisitos da rede para executores de Dependabot

Os executores de Dependabot exigem acesso à internet pública, GitHub.com e a todos os registros internos que serão usados nas atualizações do Dependabot updates. Para minimizar o risco para sua rede interna, você deve limitar o acesso da Máquina Virtual (VM) à sua rede interna. Isto reduz o potencial de danos nos sistemas internos se um executor fizer o download de uma dependência capturada.

Configuração de certificado para executores de Dependabot

Se sua instância do GitHub Enterprise Server usar um certificado autoassinado, ou se o Dependabot precisar interagir com repositórios que utilizam certificados autoassinados, esses certificados também deverão ser instalados nos executores auto-hospedados que executam os trabalhos do Dependabot. Essa segurança fortalece a conexão. Você também deve configurar o Node.js para usar o certificado, pois a maioria das ações são escritas em JavaScript e são executadas usando Node.js, que não usa o repositório de certificados do sistema operacional.

Adicionar executores auto-hospedados para atualizações de Dependabot

1. Provisionamento de executores auto-hospedados no nível da conta do repositório, organização ou empresa. Para saber mais, confira Executores auto-hospedados e Adicionar executores auto-hospedados.

2. Configure os runners auto-hospedados com os requisitos descritos acima. Por exemplo, em uma VM que executa o Ubuntu 20.04, você faz o seguinte:

   • Instale o Docker e certifique-se de que os usuários do executor tenham acesso ao Docker. Para obter mais informações, consulte a documentação do Docker. * Instalar o mecanismo do Docker no Ubuntu
     • Abordagem recomendada: executar o daemon do Docker como um usuário não raiz (modo sem raiz)
     • Abordagem alternativa: gerenciar o Docker como um usuário não raiz
   • Verifique se os executores têm acesso à internet pública e só podem acessar as redes internas de que Dependabot precisa.
   • Instale quaisquer certificados autoassinados para sua instância GitHub Enterprise Server ou para registros com os quais o Dependabot precisará interagir.
     • Configure o Node.js para usar o mesmo certificado. Para saber mais, confira Solução de problemas de GitHub Actions para sua empresa.

3. Atribua um rótulo dependabot a cada executor que deseja que o Dependabot use. Para saber mais, confira Usar etiquetas com os runners auto-hospedados.

4. Opcionalmente, habilite os fluxos de trabalho acionados por Dependabot para usar permissões além das permissões somente leitura e ter acesso a todos os segredos que estão normalmente disponíveis. Para saber mais, confira Solução de problemas de GitHub Actions para sua empresa.