Skip to main content

Informationen zu Dependabot über GitHub Actions-Runner

GitHub führt automatisch die Jobs aus, die Dependabot Pull-Anforderungen für GitHub Actions generieren, wenn GitHub Actions für das Repository aktiviert sind.

Wer kann dieses Feature verwenden?

Dependabot für GitHub Actions ist standardmäßig für alle Repositorys aktiviert, für die GitHub Actions aktiviert ist.

Informationen zu Dependabot über GitHub Actions-Runner

Wenn Sie Dependabot für ein neues Repository aktivieren und GitHub Actions aktiviert ist, werden Dependabot standardmäßig auf GitHub Actions ausgeführt.

Wenn Sie Dependabot für ein neues Repository aktivieren und GitHub Actions deaktiviert ist, wird Dependabot über die ältere Anwendung in GitHub ausgeführt, um Dependabot updates auszuführen. Dies bietet nicht so gute Leistung, Sichtbarkeit oder Kontrolle von Dependabot updates Jobs wie GitHub Actions. Wenn Sie Dependabot mit GitHub Actions verwenden möchten, müssen Sie sicherstellen, dass Ihr Repository GitHub Actions aktiviert, und dann "Dependabot für Actions-Runner" auf der Einstellungsseite des Repositorys "Codesicherheit und Analyse" aktivieren.

Note

Zukünftige Versionen von GitHub führen immer Dependabot mit GitHub Actions aus, und Sie haben nicht mehr die Möglichkeit, diese Einstellung zu aktivieren oder zu deaktivieren.

Anhand von GitHub Actions-Runnern können Sie Fehler in Dependabot-Jobs einfacher feststellen und fehlgeschlagene Ausführungen manuell erkennen und beheben. Sie können Dependabot anhand von GitHub Actions-APIs und Webhooks auch in Ihre CI/CD-Pipelines integrieren, um den Status von Dependabot-Jobs, wie z. B. fehlgeschlagene Ausführungen, zu erkennen und die nachgelagerte Verarbeitung vorzunehmen. Weitere Informationen finden Sie unter REST-API-Endpunkte für GitHub Actions und unter Webhook-Ereignisse und -Nutzlasten.

Note

Die Ausführung von Dependabot über GitHub-gehostete und selbst gehostete Runner wird nicht auf deine enthaltenen GitHub Actions-Minuten angerechnet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

Sie können Dependabot auf GitHub Actions anwenden:

  • GitHub-gehostete Runner
  • Größere Runner. Diese Runner werden von GitHub gehostet und verfügen über erweiterte Funktionen wie mehr RAM, CPU und Festplattenplatz. Weitere Informationen findest du unter Verwenden größerer Runner.
  • Selbstgehostete Runner

Note

Dependabot unterstützt nicht die Verwendung privater Netzwerke mit einem virtuellen Azure-Netzwerk (VNet) oder dem Actions Runner Controller (ARC).

Durch das Aktivieren von Dependabot für GitHub Actions kann die Anzahl der gleichzeitig ausgeführten Jobs in Ihrem Konto zunehmen. Bei Bedarf können Kunden in Enterprise-Plänen einen höheren Grenzwert für gleichzeitige Aufträge anfordern. Weitere Informationen erhalten Sie von uns über das GitHub-Supportportal oder von Ihren Vertriebsmitarbeitern.

Wenn Sie zum Einsatz von Dependabot über GitHub Actions-Runner übergehen und den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren. Wenn Sie z. B. den Zugriff auf Ihre privaten Ressourcen auf die von Dependabot verwendeten IP-Adressen beschränken, sollten Sie Ihre Zulassungsliste so aktualisieren, dass die vom Meta-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden. Weitere Informationen findest du unter REST-API-Endpunkte für Metadaten.

Aktivieren oder Deaktivieren von Dependabot für GitHub-Runner

Dieser Abschnitt gilt nur für standardmäßige GitHub-gehostete Runner, nicht für größere Runner.

Neue Repositorys, die Sie in Ihrem Benutzerkonto oder in Ihrer Organisation erstellen, werden automatisch so konfiguriert, dass Dependabot über GitHub Actions ausgeführt wird, wenn eine der folgenden Voraussetzungen erfüllt ist:

  • Dependabot ist installiert und aktiviert, und GitHub Actions ist aktiviert und im Einsatz.
  • Die Einstellung „Dependabot über GitHub Actions Runner“ ist für deine Organisation aktiviert.

Bei vorhandenen Repositorys können Sie die Ausführung von Dependabot über GitHub Actions wie folgt aktivieren.

In zukünftigen Versionen von GitHub wird die Möglichkeit zum Deaktivieren der Ausführung von Dependabot über GitHub Actions aufgehoben.

Wenn Sie den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren, bevor Sie Dependabot für GitHub Actions-Runner aktivieren. Sie können Ihre Liste zugelassener IP-Adressen so aktualisieren, dass die vom Meta-REST-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden (anstelle der Dependabot-IP-Adressen).

Warning

Für die Authentifizierung bei privaten Registrierungen sollten Sie nicht die GitHub Actions-IP-Adressen heranziehen. Diese GitHub Actions-Adressen werden nicht nur von GitHub verwendet und sind für die Authentifizierung nicht vertrauenswürdig. Verwende stattdessen einen selbst gehosteten Runner, um eine bessere Kontrolle über den Netzwerkzugriff sicherzustellen. Weitere Informationen findest du unter Verwalten von Dependabot auf selbst gehosteten Runnern.

Beachte, dass beim Deaktivieren und erneuten Aktivieren der Einstellungen „Dependabot über GitHub Actions-Runner“ keine neue Dependabot-Ausführung ausgelöst wird.

Aktivieren oder Deaktivieren für Ihr Repository

Sie können Dependabot über GitHub Actions für Ihr öffentliches oder privates Repository verwalten.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicken Sie unter „Dependabot“ rechts neben „Dependabot auf Actions-Runnern“ auf Aktivieren, um das Feature zu aktivieren, oder auf Deaktivieren, um es zu deaktivieren.

Aktivieren oder Deaktivieren für Ihre Organisation

Sie können Dependabot über GitHub Actions für alle vorhandenen Repositorys in einer Organisation aktivieren.

Nur Repositorys mit der folgenden Konfiguration werden so aktualisiert, dass Dependabot über GitHub Actions ausgeführt wird, wenn der nächste Dependabot-Job ausgelöst wird.

  • Dependabot ist im Repository aktiviert.
  • GitHub Actions ist im Repository aktiviert.

Wenn für ein Repository in Ihrer Organisation Dependabot aktiviert ist, GitHub Actions aber deaktiviert ist, wird Dependabot nicht über GitHub Actions ausgeführt, sondern weiterhin über die integrierte Dependabot-Anwendung.

  1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
  2. Klicke neben der Organisation auf Einstellungen.
  3. Klicken Sie im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und dann auf Globale Einstellungen.
  4. Wählen Sie unter „Dependabot“ „Dependabot auf Actions-Runnern“, um das Feature zu aktivieren, oder auf „Deaktivieren“, um es zu deaktivieren.

Weitere Informationen findest du unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.

Aktivieren oder Deaktivieren von Dependabot auf größere Runner

Wenn Sie mit Dependabot Timeouts und Out-of-Memory-Fehlern zu kämpfen haben, sollten Sie größere Runner verwenden, da Sie diese Runner so konfigurieren können, dass sie mehr Ressourcen haben.

Note

Sie können größere Runner nur für Dependabot auf Organisationsebene aktivieren. GitHub wird Ihrem Unternehmen zum regulären Preis für Aktions-Runner in Rechnung gestellt. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

  1. Fügen Sie Ihrer Organisation eine größerer Runner hinzu, und stellen Sie sicher, dass der angegebene Name dependabot lautet. Weitere Informationen findest du unter Verwalten größerer Runner.
  2. Melden Sie sich in der Organisation für selbst gehostete Runner an. Weitere Informationen findest du unter Verwalten von Dependabot auf selbst gehosteten Runnern. Dieser Schritt ist erforderlich, da er sicherstellt, dass zukünftige Dependabot-Aufträge auf dem größeren GitHub-gehosteten Runner laufen, der den dependabot-Namen hat.

Verwalten von Dependabot über GitHub Actions-Runner

Wenn ein Dependabot-Job über GitHub Actions ausgeführt wird, können Sie den Ausführungsverlauf des Workflows direkt in den Dependabot-Auftragsprotokollen überprüfen. Weitere Informationen findest du unter Anzeigen von Dependabot-Auftragsprotokollen.

Sie können auch zu einem über die Registerkarte Aktionen in einem Repository ausgeführten Dependabot-Workflow navigieren. Weitere Informationen findest du unter Anzeigen des Ausführungsverlaufs eines Workflows.

Halten Sie sich zum erneuten Ausführen eines Dependabot version updates- oder Dependabot security updates-Jobs an die entsprechende nachstehende Vorgehensweise. Sie können einen Dependabot-Job über GitHub Actions nicht auf die gleiche Weise erneut ausführen wie andere GitHub Actions-Workflows und -Jobs, d. h. über die Registerkarte Aktionen in einem Repository. Sie können keine Nutzungsdaten für Dependabot updates-Workflows und -Jobs in den GitHub Actions-Nutzungsmetriken Ihrer Organisation anzeigen.

Erneutes Ausführen eines Dependabot version updates-Jobs

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Erkenntnisse“ beschriftet ist, dunkelorange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

    Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Klicke unter „Abhängigkeitsdiagramm“ auf Dependabot .

  5. Klicken Sie rechts neben dem Namen der Manifestdatei, an der Sie interessiert sind, auf Letzte Aktualisierungsaufträge.

  6. Klicken Sie rechts neben der betreffenden Manifestdatei auf Nach Updates suchen, um einen Dependabot version updates-Job erneut auszuführen und nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.

Erneutes Ausführen eines Dependabot security updates-Jobs

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
  2. Klicken Sie unter Ihrem Repositorynamen auf Sicherheit.
  3. Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Dependabot.
  4. Klicken Sie unter „Dependabot“ auf die Warnung, die Sie anzeigen möchten.
  5. Klicken Sie im Abschnitt, in dem die Fehlerdetails für die Warnung angezeigt werden, auf Wiederholen, um den Dependabot security updates-Job erneut auszuführen.

Weiterführende Themen