Informationen zu Dependabot über GitHub Actions-Runner
Wenn Sie Dependabot für ein neues Repository aktivieren und GitHub Actions aktiviert ist, werden Dependabot standardmäßig auf GitHub Actions ausgeführt.
Wenn Sie Dependabot für ein neues Repository aktivieren und GitHub Actions deaktiviert ist, wird Dependabot über die ältere Anwendung in GitHub Enterprise Cloud ausgeführt, um Dependabot updates auszuführen. Dies bietet nicht so gute Leistung, Sichtbarkeit oder Kontrolle von Dependabot updates Jobs wie GitHub Actions. Wenn du Dependabot mit GitHub Actions verwenden möchtest, musst du sicherstellen, dass dein Repository GitHub Actions aktiviert. Aktiviere anschließend „Dependabot on Actions runners“ auf der Einstellungsseite „Code security“ des Repositorys.
Note
Zukünftige Versionen von GitHub führen immer Dependabot mit GitHub Actions aus, und Sie haben nicht mehr die Möglichkeit, diese Einstellung zu aktivieren oder zu deaktivieren.
Anhand von GitHub Actions-Runnern können Sie Fehler in Dependabot-Jobs einfacher feststellen und fehlgeschlagene Ausführungen manuell erkennen und beheben. Sie können Dependabot anhand von GitHub Actions-APIs und Webhooks auch in Ihre CI/CD-Pipelines integrieren, um den Status von Dependabot-Jobs, wie z. B. fehlgeschlagene Ausführungen, zu erkennen und die nachgelagerte Verarbeitung vorzunehmen. Weitere Informationen findest du unter REST-API-Endpunkte für GitHub Actions und Webhook-Ereignisse und -Nutzlasten.
Note
Die Ausführung von Dependabot über GitHub-gehostete und selbst gehostete Runner wird nicht auf deine enthaltenen GitHub Actions-Minuten angerechnet. Weitere Informationen finden Sie unter Informationen zur Abrechnung für GitHub Actions.
Sie können Dependabot auf GitHub Actions anwenden:
- GitHub-gehostete Runner
- Größere Runner. Diese Runner werden von GitHub gehostet und verfügen über erweiterte Funktionen wie mehr RAM, CPU und Festplattenplatz. Weitere Informationen finden Sie unter Verwenden größerer Runner.
- Selbstgehostete Runner
Note
Dependabot unterstützt nicht die Verwendung privater Netzwerke mit einem virtuellen Azure-Netzwerk (VNet) oder dem Actions Runner Controller (ARC).
Durch das Aktivieren von Dependabot für GitHub Actions kann die Anzahl der gleichzeitig ausgeführten Jobs in Ihrem Konto zunehmen. Bei Bedarf können Kunden in Enterprise-Plänen einen höheren Grenzwert für gleichzeitige Aufträge anfordern. Weitere Informationen erhalten Sie von uns über das GitHub-Supportportal oder von Ihren Vertriebsmitarbeitern.
Wenn Sie zum Einsatz von Dependabot über GitHub Actions-Runner übergehen und den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren. Wenn Sie z. B. den Zugriff auf Ihre privaten Ressourcen auf die von Dependabot verwendeten IP-Adressen beschränken, sollten Sie Ihre Zulassungsliste so aktualisieren, dass die vom Meta-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden. Weitere Informationen finden Sie unter REST-API-Endpunkte für Metadaten.
Wenn du eine Richtlinie durchsetzt, die nur unternehmensinterne Aktionen und wiederverwendbare Workflows zulässt, und Dependabot in GitHub Actions aktivierst, wird Dependabot nicht ausgeführt. Damit Dependabot mit Ihren unternehmensinternen Aktionen und wiederverwendbaren Workflows ausgeführt werden kann, sollten Sie entweder von GitHub erstellte Aktionen zulassen oder bestimmte Aktionen und wiederverwendbare Workflows zulassen. Weitere Informationen findest du unter Erzwingen von Richtlinien für GitHub Actions in deinem Unternehmen.
Aktivieren oder Deaktivieren von Dependabot für GitHub-Runner
Dieser Abschnitt gilt nur für standardmäßige GitHub-gehostete Runner, nicht für größere Runner.
Neue Repositorys, die Sie in Ihrem Benutzerkonto oder in Ihrer Organisation erstellen, werden automatisch so konfiguriert, dass Dependabot über GitHub Actions ausgeführt wird, wenn eine der folgenden Voraussetzungen erfüllt ist:
- Dependabot ist installiert und aktiviert, und GitHub Actions ist aktiviert und im Einsatz.
- Die Einstellung „Dependabot über GitHub Actions Runner“ ist für deine Organisation aktiviert.
Bei vorhandenen Repositorys können Sie die Ausführung von Dependabot über GitHub Actions wie folgt aktivieren.
In zukünftigen Versionen von GitHub Enterprise Cloud wird die Möglichkeit zum Deaktivieren der Ausführung von Dependabot über GitHub Actions aufgehoben.
Wenn Sie den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren, bevor Sie Dependabot für GitHub Actions-Runner aktivieren. Sie können Ihre Liste zugelassener IP-Adressen so aktualisieren, dass die vom Meta-REST-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden (anstelle der Dependabot-IP-Adressen).
Warning
Für die Authentifizierung bei privaten Registrierungen sollten Sie nicht die GitHub Actions-IP-Adressen heranziehen. Diese GitHub Actions-Adressen werden nicht nur von GitHub verwendet und sind für die Authentifizierung nicht vertrauenswürdig. Verwende stattdessen einen selbst gehosteten Runner, um eine bessere Kontrolle über den Netzwerkzugriff sicherzustellen. Weitere Informationen finden Sie unter Managing Dependabot on self-hosted runners.
Beachte, dass beim Deaktivieren und erneuten Aktivieren der Einstellungen „Dependabot über GitHub Actions-Runner“ keine neue Dependabot-Ausführung ausgelöst wird.
Aktivieren oder Deaktivieren für Ihr Repository
Sie können Dependabot über GitHub Actions für Ihr öffentliches, privates oder internes Repository verwalten.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Security“ der Seitenleiste auf „Code security“.
-
Klicken Sie unter „Dependabot“ rechts neben „Dependabot auf Actions-Runnern“ auf Aktivieren, um das Feature zu aktivieren, oder auf Deaktivieren, um es zu deaktivieren.
Aktivieren oder Deaktivieren für Ihre Organisation
Sie können Dependabot über GitHub Actions für alle vorhandenen Repositorys in einer Organisation aktivieren.
Nur Repositorys mit der folgenden Konfiguration werden so aktualisiert, dass Dependabot über GitHub Actions ausgeführt wird, wenn der nächste Dependabot-Job ausgelöst wird.
- Dependabot ist im Repository aktiviert.
- GitHub Actions ist im Repository aktiviert.
Wenn für ein Repository in Ihrer Organisation Dependabot aktiviert ist, GitHub Actions aber deaktiviert ist, wird Dependabot nicht über GitHub Actions ausgeführt, sondern weiterhin über die integrierte Dependabot-Anwendung.
- Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
- Klicke neben der Organisation auf Einstellungen.
- Klicken Sie im Abschnitt „Sicherheit“ der Randleiste auf Codesicherheit und dann auf Globale Einstellungen.
- Wählen Sie unter „Dependabot“ „Dependabot auf Actions-Runnern“, um das Feature zu aktivieren, oder auf „Deaktivieren“, um es zu deaktivieren.
Weitere Informationen finden Sie unter Konfigurieren globaler Sicherheitseinstellungen für Ihre Organisation.
Aktivieren oder Deaktivieren von Dependabot auf größere Runner
Wenn Sie mit Dependabot Timeouts und Out-of-Memory-Fehlern zu kämpfen haben, sollten Sie größere Runner verwenden, da Sie diese Runner so konfigurieren können, dass sie mehr Ressourcen haben.
Note
Sie können größere Runner nur für Dependabot auf Organisationsebene aktivieren. GitHub wird Ihrem Unternehmen zum regulären Preis für Aktions-Runner in Rechnung gestellt. Weitere Informationen finden Sie unter Informationen zur Abrechnung für GitHub Actions.
- Fügen Sie Ihrer Organisation eine größerer Runner hinzu, und stellen Sie sicher, dass der angegebene Name
dependabot
lautet. Weitere Informationen finden Sie unter Verwalten größerer Runner. - Melden Sie sich in der Organisation für selbst gehostete Runner an. Weitere Informationen finden Sie unter Managing Dependabot on self-hosted runners. Dieser Schritt ist erforderlich, da er sicherstellt, dass zukünftige Dependabot-Aufträge auf dem größeren GitHub-gehosteten Runner laufen, der den
dependabot
-Namen hat.
Verwalten von Dependabot über GitHub Actions-Runner
Wenn ein Dependabot-Job über GitHub Actions ausgeführt wird, können Sie den Ausführungsverlauf des Workflows direkt in den Dependabot-Auftragsprotokollen überprüfen. Weitere Informationen finden Sie unter Viewing Dependabot job logs.
Sie können auch zu einem über die Registerkarte Aktionen in einem Repository ausgeführten Dependabot-Workflow navigieren. Weitere Informationen finden Sie unter Anzeigen des Ausführungsverlaufs eines Workflows.
Halten Sie sich zum erneuten Ausführen eines Dependabot version updates- oder Dependabot security updates-Jobs an die entsprechende nachstehende Vorgehensweise. Sie können einen Dependabot-Job über GitHub Actions nicht auf die gleiche Weise erneut ausführen wie andere GitHub Actions-Workflows und -Jobs, d. h. über die Registerkarte Aktionen in einem Repository. Sie können keine Nutzungsdaten für Dependabot updates-Workflows und -Jobs in den GitHub Actions-Nutzungsmetriken Ihrer Organisation anzeigen.
Erneutes Ausführen eines Dependabot version updates-Jobs
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.
-
Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.
-
Klicke unter „Abhängigkeitsdiagramm“ auf Dependabot .
-
Klicken Sie rechts neben dem Namen der Manifestdatei, an der Sie interessiert sind, auf Letzte Aktualisierungsaufträge.
-
Klicken Sie rechts neben der betreffenden Manifestdatei auf Nach Updates suchen, um einen Dependabot version updates-Job erneut auszuführen und nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.
Erneutes Ausführen eines Dependabot security updates-Jobs
- Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
- Klicken Sie unter Ihrem Repositorynamen auf Sicherheit.
- Klicken Sie auf der linken Randleiste unter „Sicherheitsrisikowarnungen“ auf Dependabot.
- Klicken Sie unter „Dependabot“ auf die Warnung, die Sie anzeigen möchten.
- Klicken Sie im Abschnitt, in dem die Fehlerdetails für die Warnung angezeigt werden, auf Wiederholen, um den Dependabot security updates-Job erneut auszuführen.