Informationen zu Dependabot-Updates
Du kannst Dependabot updates verwenden, um Sicherheitsrisiken zu beheben und Abhängigkeiten auf die neueste Version in Ihre GitHub Enterprise Server-Instance zu aktualisieren. Dependabot updates erfordert GitHub Actions mit selbstgehosteten Runnern, die für Dependabot eingerichtet sind. Dependabot-Warnungen und -Sicherheitsupdates verwenden Informationen aus der GitHub Advisory Database, auf die mit GitHub Connect zugegriffen wird. Weitere Informationen findest du unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen und unter Aktivieren von Dependabot für dein Unternehmen.
Dependabot kann standardmäßig auf öffentliche Registrierungen zugreifen, und du kannst Dependabot für den Zugriff auf private Registrierungen konfigurieren. Wenn Ihre GitHub Enterprise Server-Instance über eingeschränkten oder keinen Internetzugriff verfügt, kannst du Dependabot auch so konfigurieren, dass nur private Registrierungen als Quelle für Sicherheits- und Versionsupdates verwendet werden. Informationen dazu, welche Ökosysteme als private Registrierungen unterstützt werden, findest du unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.
In den folgenden Anweisungen wird davon ausgegangen, dass du Dependabot-Runner mit den folgenden Einschränkungen einrichten musst.
- Kein Internetzugriff
- Zugriff auf eingeschränkte interne Ressourcen, z. B. private Registrierungen für Dependabot
Einschränken des Internetzugriffs für Dependabot-Runner
Bevor du Dependabot konfigurierst, installiere Docker auf deinem selbstgehosteten Runner. Weitere Informationen findest du unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates für dein Unternehmen.
-
Navigiere auf Ihre GitHub Enterprise Server-Instance zum Repository
github/dependabot-action
, und rufe Informationen zu den Containerimagesdependabot-updater
unddependabot-proxy
aus dercontainers.json
-Datei ab.Jedes Release von GitHub Enterprise Server enthält eine aktualisierte
containers.json
-Datei unterhttps://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json
. Die GitHub.com-Version der Datei findest du unter containers.json. -
Lade alle Containerimages aus dem GitHub Container registry mithilfe des
docker pull
-Befehls auf den Dependabot-Runner in Voraus. Alternativ können Sie dasdependabot-proxy
-Image vorab laden und dann nur die Containerimages für die benötigten Ökosysteme vorab laden.Um z. B. npm und GitHub Actions zu unterstützen, kannst du die folgenden Befehle verwenden, indem du die Details der zu ladenden Images aus der
containers.json
-Datei kopierst, um sicherzustellen, dass du über die richtige Version und SHA für jedes Image verfügst.docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA
Hinweis: Du musst diesen Schritt wiederholen, wenn du ein Upgrade auf eine neue Nebenversion von GitHub Enterprise Server durchführen oder du die Aktion Dependabot von GitHub.com manuell aktualisieren möchtest. Weitere Informationen findest du unter Manuelles Synchronisieren von Aktionen über GitHub.com.
-
Wenn du das Hinzufügen dieser Images zum Runner abgeschlossen hast, kannst du den Internetzugriff auf den Dependabot-Runner einschränken und sicherstellen, dass er weiterhin auf deine privaten Registrierungen für die erforderlichen Ökosysteme und für Ihre GitHub Enterprise Server-Instance zugreifen kann.
Du musst die Images zuerst hinzufügen, da Dependabot-Runner
dependabot-updater
unddependabot-proxy
aus dem GitHub Container registry pullen, wenn damit begonnen wird Dependabot-Aufträge auszuführen.
Überprüfen der Konfiguration von Dependabot-Runnern
- Konfiguriere Dependabot für ein Testrepository, um auf private Registrierungen zuzugreifen und den Zugriff auf öffentliche Registrierungen zu entfernen. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot und unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.
- Klicke auf der Registerkarte Erkenntnisse für das Repository auf Abhängigkeitsdiagramm, um Details zu den Abhängigkeiten anzuzeigen.
- Klicke auf Dependabot , um die für Versionsupdates konfigurierten Ökosysteme anzuzeigen.
- Klicke für Ökosysteme, die du testen möchtest, auf Zuletzt überprüfte UHRZEIT vor, um die Ansicht „Protokolle aktualisieren“ anzuzeigen.
- Klicke auf Nach Updates suchen, um nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.
Wenn die Überprüfung auf Updates abgeschlossen ist, solltest du die Ansicht „Updateprotokolle“ überprüfen, um sicherzustellen, dass Dependabot auf die konfigurierten privaten Registrierungen auf Ihre GitHub Enterprise Server-Instance zugegriffen hat, um nach Versionsupdates zu suchen.
Nachdem du dich vergewissert hast, dass die Konfiguration korrekt ist, bitte Repositoryadministrator*innen, ihre Dependabot-Konfigurationen so zu aktualisieren, dass nur private Registrierungen verwendet werden. Weitere Informationen findest du unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.