Настройка автоматической отправки зависимостей для репозитория

Вы можете использовать автоматическую отправку зависимостей для отправки транзитивных данных зависимостей в репозитории. Это позволяет анализировать эти транзитивные зависимости с помощью граф зависимостей.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Предпосылки

Граф зависимостей должен быть включен для репозитория, чтобы включить автоматическую отправку зависимостей.

Для использования автоматической отправки зависимостей необходимо также включить GitHub Actions для репозитория. Дополнительные сведения см. в разделе Управление настройками GitHub Actions для репозитория.

Включение автоматической отправки зависимостей

Администраторы репозитория могут включить или отключить автоматическую отправку зависимостей для репозитория, выполнив действия, описанные в этой процедуре.

Владельцы организации могут включить автоматическую отправку зависимостей для нескольких репозиториев с помощью конфигурации безопасности. Дополнительные сведения см. в разделе Создание настраиваемой конфигурации безопасности.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Граф зависимостей" щелкните раскрывающееся меню рядом с пунктом "Автоматическая отправка зависимостей", а затем выберите "Включено".

После включения автоматической отправки зависимостей для репозитория GitHub будет:

  • Следите за отправками в репозиторий.
  • Выполните действие сборки граф зависимостей, связанное с экосистемой пакетов для любых манифестов в репозитории.
  • Выполните автоматическую отправку зависимостей с результатами.

Вы можете просмотреть сведения о автоматических рабочих процессах, выполняемых с помощью вкладки "Действия " репозитория.

Примечание.

После включения автоматической отправки зависимостей мы автоматически активируем выполнение действия. После включения он будет выполняться каждый раз, когда фиксация в ветвь по умолчанию обновляет манифест.

Доступ к частным реестрам с помощью локальных runners

Для запуска заданий автоматической отправки зависимостей можно настроить автономные средства выполнения, а не с помощью инфраструктуры GitHub Actions. Это необходимо для доступа к частным реестрам Maven. Локальные средства выполнения должны работать в Linux или macOS. Для автоматической подачи .NET и Python необходимо иметь доступ к публичному интернету, чтобы скачать последний релиз по обнаружению компонентов.

  1. Подготовьте один или несколько локальных модулей выполнения на уровне репозитория или организации. Дополнительные сведения см. в разделе [AUTOTITLE и Локальные средства выполнения тестов](/actions/hosting-your-own-runners/managing-self-hosted-runners/adding-self-hosted-runners).
  2. Назначьте метку каждому средству dependency-submission выполнения, которую требуется использовать автоматическую отправку зависимостей. Дополнительные сведения см. в разделе Использование меток с самостоятельно размещенными средствами выполнения.
  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.
  4. В разделе "Граф зависимостей" щелкните раскрывающееся меню рядом с параметром "Автоматическая отправка зависимостей", а затем выберите "Включено" для помеченных средств выполнения.

После включения задания автоматической отправки зависимостей будут выполняться на локальных запусках, если только:

  • Локальные бегуны недоступны.
  • Группы runner не помечены меткой dependency-submission .

Примечание.

Для проектов Maven или Gradle, использующих автономные модули выполнения с частными реестрами Maven, необходимо изменить файл параметров сервера Maven, чтобы рабочие процессы отправки зависимостей могли подключаться к реестрам. Дополнительные сведения о файле параметров сервера Maven см . в разделе "Параметры безопасности и развертывания" в документации Maven.

Для URL сетевых списков разрешений, конфигурации более крупных раннеров, детали устранения неполадок и специфической информации о экосистеме пакетов см. Автоматическая отправка зависимостей.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/reference/supply-chain-security/automatic-dependency-submission)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api)