Konfigurieren von Dependabot für die Arbeit bei eingeschränktem Internetzugriff

Sie können Dependabot so konfigurieren, dass Pull-Anfragen für Versions- und Sicherheitsupdates über private Register generiert werden, wenn GitHub Enterprise Server nur über eingeschränkten oder keinen Internetzugang verfügt.

In diesem Artikel

Informationen zu Dependabot-Updates

Sie können Dependabot updates verwenden, um Schwachstellen zu beheben und Abhängigkeiten auf die neueste Version in GitHub Enterprise Server zu aktualisieren. Dependabot updates erfordert GitHub Actions mit selbstgehosteten Runnern, die für Dependabot eingerichtet sind. Dependabot-Warnungen und -Sicherheitsupdates verwenden Informationen aus der GitHub Advisory Database, auf die mit GitHub Connect zugegriffen wird. Weitere Informationen finden Sie unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen und unter Aktivieren von Dependabot für dein Unternehmen.

Dependabot kann standardmäßig auf öffentliche Registrierungen zugreifen, und du kannst Dependabot für den Zugriff auf private Registrierungen konfigurieren. Alternativ können Sie, wenn Ihre Instanz nur über eingeschränkten oder keinen Internetzugang verfügt, Dependabot so konfigurieren, dass nur private Register als Quelle für Sicherheits- und Versionsaktualisierungen verwendet werden. Informationen dazu, welche Ökosysteme als private Registrierungen unterstützt werden, findest du unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.

In den folgenden Anweisungen wird davon ausgegangen, dass du Dependabot-Runner mit den folgenden Einschränkungen einrichten musst.

  • Kein Internetzugriff
  • Zugriff auf eingeschränkte interne Ressourcen, z. B. private Registrierungen für Dependabot

Einschränken des Internetzugriffs für Dependabot-Runner

Bevor du Dependabot konfigurierst, installiere Docker auf deinem selbstgehosteten Runner. Weitere Informationen findest du unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen.

  1. Navigieren Sie auf GitHub Enterprise Server zum Repository github/dependabot-action und rufen Sie Informationen über die Container-Images dependabot-updater und dependabot-proxy aus der Datei containers.json ab.

    Jedes Release von GitHub Enterprise Server enthält eine aktualisierte containers.json-Datei unter https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json. Die GitHub.com-Version der Datei findest du unter containers.json.

  2. Lade alle Containerimages aus dem GitHub Container registry mithilfe des docker pull-Befehls auf den Dependabot-Runner in Voraus. Alternativ können Sie das dependabot-proxy-Image vorab laden und dann nur die Containerimages für die benötigten Ökosysteme vorab laden.

    Um z. B. npm und GitHub Actions zu unterstützen, kannst du die folgenden Befehle verwenden, indem du die Details der zu ladenden Images aus der containers.json-Datei kopierst, um sicherzustellen, dass du über die richtige Version und SHA für jedes Image verfügst.

    docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA

    Hinweis: Du musst diesen Schritt wiederholen, wenn du ein Upgrade auf eine neue Nebenversion von GitHub Enterprise Server durchführen oder du die Aktion Dependabot von GitHub.com manuell aktualisieren möchtest. Weitere Informationen findest du unter Manuelles Synchronisieren von Aktionen über GitHub.com.

  3. Wenn Sie diese Bilder zum Runner hinzugefügt haben, können Sie den Internetzugriff auf den Runner Dependabot einschränken und sicherstellen, dass er weiterhin auf Ihre privaten Register für die erforderlichen Ökosysteme und für GitHub Enterprise Server zugreifen kann.

    Du musst die Images zuerst hinzufügen, da Dependabot-Runner dependabot-updater und dependabot-proxy aus dem GitHub Container registry pullen, wenn damit begonnen wird Dependabot-Aufträge auszuführen.

Überprüfen der Konfiguration von Dependabot-Runnern

  1. Konfiguriere Dependabot für ein Testrepository, um auf private Registrierungen zuzugreifen und den Zugriff auf öffentliche Registrierungen zu entfernen. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot und unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.
  2. Klicke auf der Registerkarte Erkenntnisse für das Repository auf Abhängigkeitsdiagramm, um Details zu den Abhängigkeiten anzuzeigen.
  3. Klicke auf Dependabot , um die für Versionsupdates konfigurierten Ökosysteme anzuzeigen.
  4. Klicke für Ökosysteme, die du testen möchtest, auf Zuletzt überprüfte UHRZEIT vor, um die Ansicht „Protokolle aktualisieren“ anzuzeigen.
  5. Klicke auf Nach Updates suchen, um nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.

Wenn die Überprüfung auf Updates abgeschlossen ist, sollten Sie in der Ansicht "Update-Protokolle" überprüfen, ob Dependabot auf die konfigurierten privaten Register Ihrer Instanz zugegriffen hat, um nach Versionsaktualisierungen zu suchen.

Nachdem du dich vergewissert hast, dass die Konfiguration korrekt ist, bitte Repositoryadministrator*innen, ihre Dependabot-Konfigurationen so zu aktualisieren, dass nur private Registrierungen verwendet werden. Weitere Informationen findest du unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.