Настройка автоматической отправки зависимостей для репозитория

Вы можете использовать автоматическую отправку зависимостей для отправки транзитивных данных зависимостей в репозитории. Это позволяет анализировать эти транзитивные зависимости с помощью граф зависимостей.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Предпосылки

Граф зависимостей должен быть включен для репозитория, чтобы включить автоматическую отправку зависимостей.

Также необходимо включить GitHub Actions репозиторий, чтобы использовать автоматическую отправку зависимости. Дополнительные сведения см. в разделе Управление настройками GitHub Actions для репозитория.

Примечание.

Для экосистем, поддерживающих Dependabot графовые задачи, не требуется включать автоматическую подачу зависимостей. Dependabot Задания по графу запускаются автоматически, когда граф зависимостей включён в вашем репозитории, и они имеют приоритет над автоматической подачей зависимостей. См . раздел AUTOTITLE.

Включение автоматической отправки зависимостей

Администраторы репозитория могут включить или отключить автоматическую отправку зависимостей для репозитория, выполнив действия, описанные в этой процедуре.

Владельцы организации могут включить автоматическую отправку зависимостей для нескольких репозиториев с помощью конфигурации безопасности. Дополнительные сведения см. в разделе Создание настраиваемой конфигурации безопасности.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Граф зависимостей" щелкните раскрывающееся меню рядом с пунктом "Автоматическая отправка зависимостей", а затем выберите "Включено".

После того как вы включите автоматическую отправку зависимостей для репозитория, GitHub будет:

  • Следите за отправками в репозиторий.
  • Выполните действие сборки граф зависимостей, связанное с экосистемой пакетов для любых манифестов в репозитории.
  • Выполните автоматическую отправку зависимостей с результатами.

Вы можете просмотреть сведения о автоматических рабочих процессах, выполняемых с помощью вкладки "Действия " репозитория.

Примечание.

После включения автоматической отправки зависимостей мы автоматически активируем выполнение действия. После включения он будет выполняться каждый раз, когда фиксация в ветвь по умолчанию обновляет манифест.

Доступ к частным реестрам

Использование Dependabot секретов

Для экосистем, поддерживающих Dependabot графовые задачи, можно настроить доступ к частным реестрам с помощью Dependabot секретов на уровне организации или репозитория.

Когда Dependabot работы графов сталкиваются с приватными пакетами, недоступными через заданные секреты, эти пакеты изящно опускаются из графа зависимостей, не вызывая сбоев.

Для получения дополнительной информации о настройке доступа к частному реестру см. Настройка доступа к частным реестрам для Dependabot.

Использование самостоятельных бегунов

Вы можете настроить самостоятельные раннеры для автоматического выполнения заданий на подачу зависимостей, вместо использования GitHub Actions инфраструктуры. Это необходимо для доступа к частным реестрам экосистем, которые не поддерживают Dependabot графовые задачи, или когда ваши реестры доступны только из вашей сети. Локальные средства выполнения должны работать в Linux или macOS. Для автоматической подачи .NET и Python необходимо иметь доступ к публичному интернету, чтобы скачать последний релиз по обнаружению компонентов.

  1. Подготовьте один или несколько локальных модулей выполнения на уровне репозитория или организации. Дополнительные сведения см. в разделе [AUTOTITLE и Локальные средства выполнения тестов](/actions/hosting-your-own-runners/managing-self-hosted-runners/adding-self-hosted-runners).
  2. Назначьте метку каждому средству dependency-submission выполнения, которую требуется использовать автоматическую отправку зависимостей. Дополнительные сведения см. в разделе Использование меток с самостоятельно размещенными средствами выполнения.
  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.
  4. В разделе «Граф зависимостей» нажмите на выпадающее меню рядом с «Автоматическая отправка зависимостей», затем выберите «Включено» для отмеченных бегущих.

После включения задания автоматической отправки зависимостей будут выполняться на локальных запусках, если только:

  • Локальные бегуны недоступны.
  • Группы runner не помечены меткой dependency-submission .

Примечание.

Для проектов Maven или Gradle, использующих автономные модули выполнения с частными реестрами Maven, необходимо изменить файл параметров сервера Maven, чтобы рабочие процессы отправки зависимостей могли подключаться к реестрам. Дополнительные сведения о файле параметров сервера Maven см . в разделе "Параметры безопасности и развертывания" в документации Maven.

Для URL сетевых списков разрешений, конфигурации более крупных раннеров, детали устранения неполадок и специфической информации о экосистеме пакетов см. Автоматическая отправка зависимостей.

Дополнительные материалы