Сведения о зависимостях на GitHub Actions runners

GitHub автоматически выполняет задания, которые создают запросы на вытягивание Dependabot для GitHub Actions при включении GitHub Actions для репозитория. Если включен параметр Dependabot, эти задания будут выполняться путем обхода проверок политики действий и отключения на уровне репозитория или организации.

Кто может использовать эту функцию?

Dependabot для GitHub Actions включен по умолчанию для всех репозиториев, для которых включен GitHub Actions

В этой статье

О Dependabot на GitHub Actions

Внимание

Если для репозитория включен параметр Dependabot, он всегда будет работать на GitHub Actions, обходя проверки политики действий и отключение на уровне репозитория или организации. Это гарантирует, что рабочие процессы обновления безопасности и версий всегда выполняются при включении Dependabot.

Использование средств выполнения GitHub Actions позволяет более легко выявлять ошибки задания Dependabot и вручную обнаруживать и устранять сбои выполнения. Кроме того, можно интегрировать Dependabot в конвейеры CI/CD с помощью API -интерфейсов и веб-перехватчиков GitHub Actions для обнаружения состояния задания Dependabot и выполнения нижестоящей обработки. Дополнительные сведения см. в разделе [AUTOTITLE и REST API endpoints для GitHub Actions](/webhooks/webhook-events-and-payloads).

Новые репозитории, которые вы создаёте в вашей учетной записи пользователя или в организации, будут автоматически настроены на запуск Dependabot на GitHub Actions с использованием стандартных GitHub-hosted runners, если какое-либо из следующего соответствует действительности:

  • Dependabot установлен и включен, а GitHub Actions включен и используется.
  • Параметр Dependabot для параметра GitHub Actions для вашей организации включен.

Будущие выпуски GitHub удалят возможность отключить выполнение Dependabot на GitHub Actions.

Примечание.

Включение Dependabot на GitHub Actions может увеличить количество параллельных заданий, выполняемых в вашей учетной записи. При необходимости клиенты в корпоративных планах могут запрашивать более высокий предел для параллельных заданий. Для получения дополнительной информации обратитесь к нам через Портал поддержки GitHubили обратитесь к представителю по продажам.

Варианты бегунов

Можно запустить Dependabot для GitHub Actions с помощью: * Стандартные GitHub-hosted runners. Это стандартные раннеры, используемые GitHub для выполнения заданий GitHub Actions. * Более крупные бегуны. Это раннеры GitHub с расширенными функциями, такими как больше оперативной памяти, процессора и дискового пространства. Дополнительные сведения см. в разделе Использование крупных средств выполнения. * Самоведущие бегуны. Эти раннеры дают вам больший контроль над Dependabot доступом к вашим приватным реестрам и внутренним сетевым ресурсам. Имейте в виду, что по соображениям безопасности Dependabot updates на самостоятельных раннерах не будет запускаться в публичных репозиториях. Дополнительные сведения о назначении dependabot метки для локальных модулей выполнения см. в разделе Конфигурирование Dependabot на самостоятельных раннерах.

Запуск Dependabot на стандартных GitHub размещённых или самостоятельно размещаемых раннерах не учитывается в ваших включенных GitHub Actions минут. Для Dependabot на более крупные бегуны GitHub выставит счета вашей организации по обычной ставке. См . раздел AUTOTITLE.

Примечание.

Частная сеть поддерживается с помощью виртуальная сеть Azure (VNET) или контроллера запуска действий (ARC) для Dependabot на GitHub Actions. См. раздел [AUTOTITLE и Настройка Dependabot для запуска на локальных запусках действий с помощью контроллера runner actions](/code-security/dependabot/working-with-dependabot/setting-dependabot-to-run-on-github-hosted-runners-using-vnet).

Как взаимодействуют настройки бегущих

Dependabot на GitHub Actions раннеров и Dependabot на настройках самостоятельных раннеров взаимозависимы:

  • Включение «Dependabot on self-hosted runners» автоматически включает «Dependabot на GitHub Actions runners». Отключение функции «Dependabot on GitHub Actions runners» автоматически отключает «Dependabot on self-hosted runners».
  • Когда обе настройки включены, задания Dependabot выполняются только на самостоятельных раннерах или более крупные бегуны с меткой dependabot — не на стандартных GitHub размещённых раннерах.

Предупреждение

Если обе настройки включены, но нет самостоятельных раннеров или более крупные бегуны с меткой dependabot , Dependabot задания останутся в очереди бесконечно. Убедитесь, что раннеры с этой меткой настроены перед включением «Dependabot на самостоятельных раннерах».

Доступ и разрешения

Если вы переходите на использование Dependabot на GitHub Actions и ограничиваете доступ к частным ресурсам вашей организации или репозитория, может потребоваться обновить список разрешенных IP-адресов. Например, если в настоящее время вы ограничиваете доступ к частным ресурсам ip-адресам, которые использует Dependabot, необходимо обновить список разрешений, чтобы использовать IP-адреса, размещенные в GitHub, размещенные в ip-адресах, полученных из конечной точки мета API. Дополнительные сведения см. в разделе Конечные точки REST API для метаданных.

Если вы применяете политику только для разрешения действий и повторно используемых рабочих процессов из вашей организации, и вы включите Dependabot на GitHub Actions, Dependabot не будет выполняться. Чтобы включить Dependabot для выполнения с корпоративными действиями и повторно используемыми рабочими процессами, следует разрешить действия, созданные GitHub, или разрешить указанные действия и повторно используемые рабочие процессы. Дополнительные сведения см. в разделе Применение политик для GitHub Actions в вашем предприятии.

Дальнейшие шаги

Чтобы включить Dependabot на GitHub Actions runners, см. Configuring Dependabot на раннерах на GitHub и Конфигурирование Dependabot на самостоятельных раннерах.