Informationen zu Dependabot über GitHub Actions-Runner

Die Ausführung von Dependabot über GitHub Actions ermöglicht eine höhere Leistung und bessere Sichtbarkeit und Kontrolle von Dependabot-Jobs.

Wer kann dieses Feature verwenden?

Organization owners and repository administrators can enable Dependabot on GitHub Actions.

In diesem Artikel

Note

Zum Ausführen von Dependabot über GitHub Actions ist eine Aktivierung erforderlich. In zukünftigen Versionen von GitHub Enterprise Cloud wird die Möglichkeit der Aktivierung aufgehoben, und Dependabot wird immer über GitHub Actions ausgeführt. Weitere Informationen findest du unter Informationen zu Dependabot über GitHub Actions-Runner.

Informationen zu Dependabot über GitHub Actions-Runner

Dependabot updates werden standardmäßig über die integrierte Dependabot-Anwendung in GitHub Enterprise Cloud ausgeführt. Für eine höhere Leistung und bessere Sichtbarkeit und Kontrolle von Dependabot updates-Jobs können Dependabot updates stattdessen auch über GitHub Actions ausgeführt werden.

Anhand von GitHub Actions-Runnern können Sie Fehler in Dependabot-Jobs einfacher feststellen und fehlgeschlagene Ausführungen manuell erkennen und beheben. Sie können Dependabot anhand von GitHub Actions-APIs und Webhooks auch in Ihre CI/CD-Pipelines integrieren, um den Status von Dependabot-Jobs, wie z. B. fehlgeschlagene Ausführungen, zu erkennen und die nachgelagerte Verarbeitung vorzunehmen. Weitere Informationen finden Sie unter REST-API-Endpunkte für GitHub Actions und unter Webhook-Ereignisse und -Nutzlasten.

Sie können Dependabot nicht über GitHub Actions auf selbstgehosteten Runnern oder größere Runner ausführen. Der Einsatz privater Netzwerke mit einem Azure Virtual Network (VNET) oder Actions Runner Controller (ARC) wird nicht unterstützt.

Die Ausführung von Dependabot über GitHub-gehostete Runner wird nicht auf Ihre enthaltenen GitHub Actions-Minuten angerechnet. Weitere Informationen findest du unter Informationen zur Abrechnung für GitHub Actions.

Durch das Aktivieren von Dependabot für GitHub Actions kann die Anzahl der gleichzeitig ausgeführten Jobs in Ihrem Konto zunehmen. Bei Bedarf können Kunden in Enterprise-Plänen einen höheren Grenzwert für gleichzeitige Aufträge anfordern. Weitere Informationen erhalten Sie von uns über das GitHub-Supportportal oder von Ihren Vertriebsmitarbeitern.

Wenn Sie zum Einsatz von Dependabot über GitHub Actions-Runner übergehen und den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren. Wenn Sie z. B. den Zugriff auf Ihre privaten Ressourcen auf die von Dependabot verwendeten IP-Adressen beschränken, sollten Sie Ihre Zulassungsliste so aktualisieren, dass die vom Meta-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden. Weitere Informationen findest du unter REST-API-Endpunkte für Metadaten.

Wenn Sie eine Richtlinie durchsetzen, die Aktionen und wiederverwendbare Workflows nur unternehmensintern zulässt, und Dependabot in GitHub Actions aktivieren, wird Dependabot nicht ausgeführt. Damit Dependabot mit Ihren unternehmensinternen Aktionen und wiederverwendbaren Workflows ausgeführt werden kann, sollten Sie entweder von GitHub erstellte Aktionen zulassen oder bestimmte Aktionen und wiederverwendbare Workflows zulassen. Weitere Informationen findest du unter Erzwingen von Richtlinien für GitHub Actions in deinem Unternehmen.

Aktivieren oder Deaktivieren von Dependabot für GitHub Actions-Runner

Neue Repositorys, die Sie in Ihrem Benutzerkonto oder in Ihrer Organisation erstellen, werden automatisch so konfiguriert, dass Dependabot über GitHub Actions ausgeführt wird, wenn eine der folgenden Voraussetzungen erfüllt ist:

  • Dependabot ist installiert und aktiviert, und GitHub Actions ist aktiviert und im Einsatz.
  • Die Einstellung „Dependabot über GitHub Actions Runner“ ist für Ihre Organisation aktiviert.

Bei vorhandenen Repositorys können Sie die Ausführung von Dependabot über GitHub Actions wie folgt aktivieren.

In zukünftigen Versionen von GitHub Enterprise Cloud wird die Möglichkeit zum Deaktivieren der Ausführung von Dependabot über GitHub Actions aufgehoben.

Wenn Sie den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren, bevor Sie Dependabot für GitHub Actions-Runner aktivieren. Sie können Ihre Liste zugelassener IP-Adressen so aktualisieren, dass die vom Meta-REST-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden (anstelle der Dependabot-IP-Adressen).

Warning

Für die Authentifizierung bei privaten Registrierungen sollten Sie nicht die GitHub Actions-IP-Adressen heranziehen. Diese GitHub Actions-Adressen werden nicht nur von GitHub verwendet und sind für die Authentifizierung nicht vertrauenswürdig. In einer künftigen Version können Sie mit einem selbstgehosteten Runner oder größerer Runner eine bessere Kontrolle über den Netzwerkzugriff sicherstellen.

Beachten Sie, dass beim Deaktivieren und erneuten Aktivieren der Einstellungen „Dependabot über GitHub Actions-Runner“ keine neue Dependabot-Ausführung ausgelöst wird.

Aktivieren oder Deaktivieren für Ihr Repository

Sie können Dependabot über GitHub Actions für Ihr öffentliches, privates oder internes Repository verwalten.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicken Sie unter „Codesicherheit und -analyse“ rechts neben „Dependabot über GitHub Actions-Runner“ auf Aktivieren, um das Feature zu aktivieren, oder auf Deaktivieren, um es zu deaktivieren.

Aktivieren oder Deaktivieren für Ihre Organisation

Über die Organisationseinstellungsseite für „Codesicherheit und -analyse“ können Sie Dependabot über GitHub Actions-Runner für alle vorhandenen Repositorys in einer Organisation aktivieren. Nur Repositorys mit der folgenden Konfiguration werden so aktualisiert, dass Dependabot über GitHub Actions ausgeführt wird, wenn der nächste Dependabot-Job ausgelöst wird.

  • Dependabot ist im Repository aktiviert.
  • GitHub Actions ist im Repository aktiviert.

Wenn für ein Repository in Ihrer Organisation Dependabot aktiviert ist, GitHub Actions aber deaktiviert ist, wird Dependabot nicht über GitHub Actions ausgeführt, sondern weiterhin über die integrierte Dependabot-Anwendung.

  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicken Sie unter „Codesicherheit und -analyse“ rechts neben „Dependabot über GitHub Actions-Runner“ auf Alle aktivieren, um das Feature zu aktivieren, oder auf Alle deaktivieren, um es zu deaktivieren.

Verwalten von Dependabot über GitHub Actions-Runner

Wenn ein Dependabot-Job über GitHub Actions ausgeführt wird, können Sie den Ausführungsverlauf des Workflows direkt in den Dependabot-Auftragsprotokollen überprüfen. Weitere Informationen findest du unter Anzeigen von Dependabot-Auftragsprotokollen.

Sie können auch zu einem über die Registerkarte Aktionen in einem Repository ausgeführten Dependabot-Workflow navigieren. Weitere Informationen findest du unter Anzeigen des Ausführungsverlaufs eines Workflows.

Halten Sie sich zum erneuten Ausführen eines Dependabot version updates- oder Dependabot security updates-Jobs an die entsprechende nachstehende Vorgehensweise. Sie können einen Dependabot-Job über GitHub Actions nicht auf die gleiche Weise erneut ausführen wie andere GitHub Actions-Workflows und -Jobs, d. h. über die Registerkarte Aktionen in einem Repository. Sie können keine Nutzungsdaten für Dependabot updates-Workflows und -Jobs in den GitHub Actions-Nutzungsmetriken Ihrer Organisation anzeigen.

Erneutes Ausführen eines Dependabot version updates-Jobs

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Erkenntnisse“ beschriftet ist, dunkelorange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

    Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Klicke unter „Abhängigkeitsdiagramm“ auf Dependabot .

  5. Klicken Sie rechts neben dem Namen der Manifestdatei, an der Sie interessiert sind, auf Letzte Aktualisierungsaufträge.

  6. Klicken Sie rechts neben der betreffenden Manifestdatei auf Nach Updates suchen, um einen Dependabot version updates-Job erneut auszuführen und nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.

Erneutes Ausführen eines Dependabot security updates-Jobs

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.
  2. Klicken Sie unter Ihrem Repositorynamen auf Sicherheit.
  3. Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Dependabot.
  4. Klicken Sie unter „Dependabot“ auf die Warnung, die Sie anzeigen möchten.
  5. Klicken Sie im Abschnitt, in dem die Fehlerdetails für die Warnung angezeigt werden, auf Wiederholen, um den Dependabot security updates-Job erneut auszuführen.

Problembehandlung von Fehlern, wenn Dependabot bestehende Workflows auslöst

Nachdem du Dependabot für GitHub.com eingerichtet hast, können Fehler angezeigt werden, wenn bestehende Workflows durch Dependabot-Ereignisse ausgelöst werden.

Standardmäßig werden Ausführungen von GitHub Actions-Workflows, die von Dependabot aufgrund von push-, pull_request-, pull_request_review- oder pull_request_review_comment-Ereignissen ausgelöst wurden, so behandelt, als wären sie in einem Repositoryfork geöffnet worden. Im Gegensatz zu Workflows, die von anderen Akteuren ausgelöst werden, erhalten sie ein schreibgeschütztes GitHub-Token (GITHUB_TOKEN) und verfügen nicht über Zugriff auf Geheimnisse, die normalerweise verfügbar sind. Dies führt dazu, dass alle Workflows, die versuchen, in das Repository zu schreiben, fehlschlagen, wenn sie von Dependabot ausgelöst wurden.

Es gibt drei Möglichkeiten, dieses Problem zu beheben:

  1. Du kannst deine Workflows mit einem Ausdruck wie if: github.actor != 'dependabot[bot]' so aktualisieren, dass sie nicht mehr durch Dependabot ausgelöst werden. Weitere Informationen findest du unter Ausdrücke.
  2. Du kannst deine Workflows so ändern, dass sie einen zweistufigen Prozess mit pull_request_target verwenden, das nicht diesen Einschränkungen unterliegt. Weitere Informationen findest du unter Automatisieren von Dependabot mit GitHub Actions.
  3. Du kannst Workflows bereitstellen, die durch den Dependabot-Zugriff auf Geheimnisse ausgelöst werden, und es dem Term permissions erlauben, den Standardbereich von GITHUB_TOKEN zu erhöhen. Weitere Informationen finden Sie unter „Automatisieren von Dependabot mit GitHub Actions“ und „Workflowsyntax für GitHub Actions“.