Acerca de Dependabot en ejecutores de Acciones de GitHub

Note

Debe optar por ejecutar Dependabot en GitHub Actions. Las versiones futuras de GitHub quitarán la capacidad de optar y ejecutar siempre Dependabot en GitHub Actions. Para obtener más información, vea «Acerca de Dependabot en ejecutores de Acciones de GitHub».

Acerca de Dependabot en ejecutores GitHub Actions

De forma predeterminada, Dependabot updates se ejecutan mediante la aplicación integrada Dependabot en GitHub. En su lugar, puede optar por ejecutar Dependabot updates en GitHub Actions para aprovechar mejor el rendimiento y aumentar la visibilidad y el control de los trabajos de Dependabot updates.

El uso de los ejecutores de GitHub Actions permite identificar más fácilmente los errores de trabajo de Dependabot y detectar y solucionar manualmente las ejecuciones con errores. También puede integrar Dependabot en las canalizaciones de CI/CD mediante las API y webhooks de GitHub Actions para detectar el estado del trabajo de Dependabot como ejecuciones con errores y realizar el procesamiento de bajada. Para obtener más información, vea «Terminales de REST para la API de Acciones de GitHub» y «Eventos y cargas de webhook».

No se puede ejecutar Dependabot en GitHub Actions en ejecutores autohospedados o ejecutores más grandes. No se admite el uso de redes privadas con una instancia de Azure Virtual Network (VNET) ni un controlador de ejecutor de acciones (ARC).

La ejecución de Dependabot en ejecutores hospedados en GitHub no cuenta para los minutos incluidos de GitHub Actions. Para obtener más información, vea «Acerca de la facturación para las Acciones de GitHub».

Habilitar Dependabot en GitHub Actions puede aumentar el número de trabajos simultáneos ejecutados en su cuenta. Si es necesario, los clientes de planes empresariales pueden solicitar un límite mayor para trabajos simultáneos. Para más información, ponte en contacto con Portal de soporte de GitHub o su representante de ventas.

Si va a realizar la transición al uso de Dependabot en los ejecutores de GitHub Actions y restringe el acceso a los recursos privados del repositorio o de la organización, es posible que tenga que actualizar la lista de direcciones IP permitidas. Por ejemplo, si actualmente limita el acceso a los recursos privados a las direcciones IP que usa Dependabot, debe actualizar la lista de permitidos para usar las direcciones IP de los ejecutores hospedados en GitHub procedentes del punto de conexión de API meta. Para obtener más información, vea «Puntos de conexión de la API de REST para metadatos».

Habilitar o deshabilitar Dependabot en ejecutores GitHub Actions

Los nuevos repositorios que cree en su cuenta de usuario o en su organización se configurarán automáticamente para ejecutar Dependabot en GitHub Actions si alguno de los siguientes valores es true:

Dependabot está instalado y habilitado, y GitHub Actions está habilitado y en uso.
La configuración de "Dependabot en ejecutores GitHub Actions de la organización está habilitada.

En el caso de los repositorios existentes, puede optar por ejecutar Dependabot en GitHub Actions como se indica a continuación.

Las versiones futuras de GitHub quitarán la capacidad de deshabilitar la ejecución de Dependabot en GitHub Actions.

Si restringe el acceso a los recursos privados del repositorio o de la organización, es posible que tenga que actualizar la lista de direcciones IP permitidas antes de habilitar Dependabot en ejecutores de GitHub Actions. Puede actualizar la lista de direcciones IP permitidas para que usen las direcciones IP de los ejecutores hospedados en GitHub (en lugar de las direcciones IP de Dependabot), procedentes del punto de conexión de la API de REST meta.

Warning

No debe confiar en las direcciones IP de GitHub Actions para la autenticación en registros privados. Estas direcciones GitHub Actions no solo se usan en GitHub y no deben ser de confianza para la autenticación. En una versión futura, podrá usar un ejecutor autohospedado o ejecutor más grande para garantizar un mayor control sobre el acceso a la red.

Tenga en cuenta que deshabilitar y volver a habilitar "Dependabot en ejecutores GitHub Actions" no desencadenará una nueva ejecución de Dependabot.

Habilitar o deshabilitar el repositorio

Puede administrar Dependabot en GitHub Actions para el repositorio público o privado.

En GitHub.com, navega a la página principal del repositorio.
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
En "Seguridad y análisis de código", a la derecha de "Dependabot en ejecutores GitHub Actions", haga clic en Habilitar para habilitar la característica o en Deshabilitar para deshabilitarla.

Habilitar o deshabilitar en una organización

Puede usar la página de configuración de la organización de "Seguridad y análisis del código" para habilitar Dependabot en GitHub Actions para todos los repositorios existentes de la organización. Solo se actualizarán los repositorios con la siguiente configuración para ejecutar Dependabot en GitHub Actions la próxima vez que se desencadene un trabajo de Dependabot.

Dependabot está habilitado en el repositorio.
Se ha habilitado GitHub Actions en el repositorio.

Si un repositorio de la organización tiene habilitado Dependabot pero tiene GitHub Actions deshabilitado, Dependabot no se ejecutará en GitHub Actions, pero seguirá ejecutándose con la aplicación integrada Dependabot.

En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.
Junto a la organización, haga clic en Settings.
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
En "Seguridad y análisis de código", a la derecha de "Dependabot en ejecutores GitHub Actions", haga clic en Habilitar para habilitar la característica o en Deshabilitar todo para deshabilitarla.

Administrar Dependabot en ejecutores GitHub Actions

Cuando se ejecuta un trabajo Dependabot en GitHub Actions, puede revisar el historial de ejecución del flujo de trabajo directamente desde los registros de trabajo de Dependabot. Para obtener más información, vea «Visualización de registros de trabajos de Dependabot».

También puede navegar a un flujo de trabajo de Dependabot que se ejecuta desde la pestaña Acciones de un repositorio. Para obtener más información, vea «Visualizar el historial de ejecución del flujo de trabajo».

Para volver a ejecutar un trabajo de Dependabot version updates o Dependabot security updates, use el procedimiento adecuado a continuación. No puede volver a ejecutar un trabajo de Dependabot en GitHub Actions como lo haría con otros flujos de trabajo y trabajos de GitHub Actions, es decir, mediante la pestaña Acciones de un repositorio. No puede ver los datos de uso de los flujos de trabajo y los trabajos de Dependabot updates en las métricas de uso GitHub Actions de la organización.

Volver a ejecutar un trabajo de Dependabot version updates

En GitHub.com, navega a la página principal del repositorio.
En el nombre del repositorio, haga clic en Información.
En la barra lateral izquierda, haga clic en Gráfico de dependencias.
En "Gráfico de dependencias", haga clic en Dependabot .
A la derecha del nombre del archivo de manifiesto que le interesa, haga clic en Trabajos de actualización recientes.
A la derecha del archivo de manifiesto afectado, haga clic en Buscar actualizaciones para volver a ejecutar un trabajo de Dependabot version updates y buscar nuevas actualizaciones en las dependencias de ese ecosistema.

Volver a ejecutar un trabajo de Dependabot security updates

En GitHub.com, navega a la página principal del repositorio.
En el nombre del repositorio, haga clic en Seguridad.
En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haga clic en Dependabot.
En "Dependabot", haga clic en la alerta que desee ver.
En la sección que muestra los detalles del error de la alerta, haga clic en Intentar de nuevo para volver a ejecutar el trabajo Dependabot security updates.

Solucionar los fallos cuando el Dependabot active los flujos de trabajo existentes

Después de configurar las actualizaciones del Dependabot para GitHub.com, puedes ver errores cuando los flujos de trabajo existentes los desencadenan los eventos del Dependabot.

De manera predeterminada, las ejecuciones de flujo de trabajo de GitHub Actions que se activan desde Dependabot a partir de los eventos push, pull_request, pull_request_review o pull_request_review_comment se tratan como si se abrieran desde una bifurcación de repositorio. A diferencia de los flujos de trabajo que activan otros actores, esto significa que recibieron un GITHUB_TOKEN de solo lectura y no tienen acceso a ninguno de los secretos que normalmente se encuentran disponibles. Esto ocasionará que cualquier flujo de trabajo que intente escribir en el repositorio falle cuando los activa el Dependabot.

Hay tres formas de resolver este problema:

Puede actualizar los flujos de trabajo para que ya nos los active Dependabot mediante una expresión como: if: github.actor != 'dependabot[bot]'. Para obtener más información, vea «Expresiones».
Puede modificar los flujos de trabajo para usar un proceso en dos pasos que incluya pull_request_target, que no tiene estas limitaciones. Para obtener más información, vea «Automatizar al Dependabot con las GitHub Actions».
Puede proporcionar acceso a los flujos de trabajo que activa Dependabot a secretos y permitir que el término permissions aumente el alcance predeterminado de GITHUB_TOKEN. Para obtener más información, consulte "Automatizar al Dependabot con las GitHub Actions" y "Sintaxis del flujo de trabajo para Acciones de GitHub".