Informationen zu Dependabot-Updates
Sie können Dependabot updates verwenden, um Schwachstellen zu beheben und Abhängigkeiten auf die neueste Version in GitHub Enterprise Server zu aktualisieren. Dependabot updates erfordert GitHub Actions mit selbstgehosteten Runnern, die für Dependabot eingerichtet sind. Dependabot-Warnungen und -Sicherheitsupdates verwenden Informationen aus der GitHub Advisory Database, auf die mit GitHub Connect zugegriffen wird. Weitere Informationen finden Sie unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen und unter Aktivieren von Dependabot für dein Unternehmen.
Dependabot kann standardmäßig auf öffentliche Registrierungen zugreifen, und du kannst Dependabot für den Zugriff auf private Registrierungen konfigurieren. Alternativ können Sie, wenn Ihre Instanz nur über eingeschränkten oder keinen Internetzugang verfügt, Dependabot so konfigurieren, dass nur private Register als Quelle für Sicherheits- und Versionsaktualisierungen verwendet werden. Informationen dazu, welche Ökosysteme als private Registrierungen unterstützt werden, findest du unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.
In den folgenden Anweisungen wird davon ausgegangen, dass du Dependabot-Runner mit den folgenden Einschränkungen einrichten musst.
- Kein Internetzugriff
- Zugriff auf eingeschränkte interne Ressourcen, z. B. private Registrierungen für Dependabot
Einschränken des Internetzugriffs für Dependabot-Runner
Bevor du Dependabot konfigurierst, installiere Docker auf deinem selbstgehosteten Runner. Weitere Informationen findest du unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen.
-
Navigieren Sie auf GitHub Enterprise Server zum Repository
github/dependabot-action
und rufen Sie Informationen über die Container-Imagesdependabot-updater
unddependabot-proxy
aus der Dateicontainers.json
ab.Jedes Release von GitHub Enterprise Server enthält eine aktualisierte
containers.json
-Datei unterhttps://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json
. Die GitHub.com-Version der Datei findest du unter containers.json. -
Lade alle Containerimages aus dem GitHub Container registry mithilfe des
docker pull
-Befehls auf den Dependabot-Runner in Voraus. Alternativ können Sie dasdependabot-proxy
-Image vorab laden und dann nur die Containerimages für die benötigten Ökosysteme vorab laden.Um z. B. npm und GitHub Actions zu unterstützen, kannst du die folgenden Befehle verwenden, indem du die Details der zu ladenden Images aus der
containers.json
-Datei kopierst, um sicherzustellen, dass du über die richtige Version und SHA für jedes Image verfügst.docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA
Note
Du musst diesen Schritt wiederholen, wenn du ein Upgrade auf eine neue Nebenversion von GitHub Enterprise Server durchführst oder die Aktion Dependabot von GitHub.com manuell aktualisieren möchtest. Weitere Informationen findest du unter Manuelles Synchronisieren von Aktionen über GitHub.com.
-
Wenn Sie diese Bilder zum Runner hinzugefügt haben, können Sie den Internetzugriff auf den Runner Dependabot einschränken und sicherstellen, dass er weiterhin auf Ihre privaten Register für die erforderlichen Ökosysteme und für GitHub Enterprise Server zugreifen kann.
Du musst die Images zuerst hinzufügen, da Dependabot-Runner
dependabot-updater
unddependabot-proxy
aus dem GitHub Container registry pullen, wenn damit begonnen wird Dependabot-Aufträge auszuführen.
Überprüfen der Konfiguration von Dependabot-Runnern
- Konfiguriere Dependabot für ein Testrepository, um auf private Registrierungen zuzugreifen und den Zugriff auf öffentliche Registrierungen zu entfernen. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot und unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.
- Klicke auf der Registerkarte Erkenntnisse für das Repository auf Abhängigkeitsdiagramm, um Details zu den Abhängigkeiten anzuzeigen.
- Klicke auf Dependabot , um die für Versionsupdates konfigurierten Ökosysteme anzuzeigen.
- Klicke für Ökosysteme, die du testen möchtest, auf Zuletzt überprüfte UHRZEIT vor, um die Ansicht „Protokolle aktualisieren“ anzuzeigen.
- Klicke auf Nach Updates suchen, um nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.
Wenn die Überprüfung auf Updates abgeschlossen ist, sollten Sie in der Ansicht "Update-Protokolle" überprüfen, ob Dependabot auf die konfigurierten privaten Register Ihrer Instanz zugegriffen hat, um nach Versionsaktualisierungen zu suchen.
Nachdem du dich vergewissert hast, dass die Konfiguration korrekt ist, bitte Repositoryadministrator*innen, ihre Dependabot-Konfigurationen so zu aktualisieren, dass nur private Registrierungen verwendet werden. Weitere Informationen findest du unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.