Acerca de Dependabot en ejecutores GitHub Actions
Si habilita Dependabot en un repositorio nuevo pero tiene GitHub Actions habilitado, Dependabot se ejecutará en la aplicación heredada en GitHub para llevar a cabo Dependabot updates.
Si habilita Dependabot en un repositorio nuevo pero tiene GitHub Actions deshabilitado, Dependabot se ejecutará en la aplicación heredada en GitHub para llevar a cabo Dependabot updates. Esto no proporciona un buen rendimiento, visibilidad ni control de los trabajos de Dependabot updates como lo hace GitHub Actions. Si desea usar Dependabot con GitHub Actions, debe asegurarse de que el repositorio permite GitHub Actions, habilite "Dependabot en ejecutores de acciones" de la página de configuración "Seguridad y análisis de código".
Note
Las versiones futuras de GitHub siempre ejecutarán Dependabot mediante GitHub Actions, y ya no tendrá la opción de habilitar o deshabilitar esta configuración.
El uso de los ejecutores de GitHub Actions permite identificar más fácilmente los errores de trabajo de Dependabot y detectar y solucionar manualmente las ejecuciones con errores. También puede integrar Dependabot en las canalizaciones de CI/CD mediante las API y webhooks de GitHub Actions para detectar el estado del trabajo de Dependabot como ejecuciones con errores y realizar el procesamiento de bajada. Para obtener más información, vea «Terminales de REST para la API de Acciones de GitHub» y «Eventos y cargas de webhook».
Tip
La ejecución de Dependabot en ejecutores hospedados en GitHub y de prueba interna no cuenta para los minutos incluidos de GitHub Actions. Para obtener más información, vea «Acerca de la facturación para las Acciones de GitHub».
Puede ejecutarDependabot en GitHub Actions mediante:
- Ejecutores alojado en GitHub
- Ejecutores más grandes. Estos ejecutores están hospedados en GitHub y cuentan con funciones avanzadas, como más RAM, CPU y espacio en disco. Para obtener más información, vea «Uso de ejecutores más grandes».
- Ejecutores autohospedados
Note
Dependabot does not support using private networking with either an Azure Virtual Network (VNET) or the Actions Runner Controller (ARC).
Habilitar Dependabot en GitHub Actions puede aumentar el número de trabajos simultáneos ejecutados en su cuenta. Si es necesario, los clientes de planes empresariales pueden solicitar un límite mayor para trabajos simultáneos. Para más información, ponte en contacto con Portal de soporte de GitHub o su representante de ventas.
Si va a realizar la transición al uso de Dependabot en los ejecutores de GitHub Actions y restringe el acceso a los recursos privados del repositorio o de la organización, es posible que tenga que actualizar la lista de direcciones IP permitidas. Por ejemplo, si actualmente limita el acceso a los recursos privados a las direcciones IP que usa Dependabot, debe actualizar la lista de permitidos para usar las direcciones IP de los ejecutores hospedados en GitHub procedentes del punto de conexión de API meta. Para obtener más información, vea «Puntos de conexión de la API de REST para metadatos».
Habilitar o deshabilitar Dependabot en ejecutores hospedados en GitHub
Esta sección solo se aplica a los ejecutores estándar hospedados en GitHub, no a ejecutores de mayor capacidad.
Los nuevos repositorios que cree en su cuenta de usuario o en su organización se configurarán automáticamente para ejecutar Dependabot en GitHub Actions si alguno de los siguientes valores es true:
- Dependabot está instalado y habilitado, y GitHub Actions está habilitado y en uso.
- La configuración de "Dependabot en ejecutores de GitHub Actions de la organización está habilitada.
En el caso de los repositorios existentes, puede optar por ejecutar Dependabot en GitHub Actions como se indica a continuación.
Las versiones futuras de GitHub quitarán la capacidad de deshabilitar la ejecución de Dependabot en GitHub Actions.
Si restringe el acceso a los recursos privados del repositorio o de la organización, es posible que tenga que actualizar la lista de direcciones IP permitidas antes de habilitar Dependabot en ejecutores de GitHub Actions. Puede actualizar la lista de direcciones IP permitidas para que usen las direcciones IP de los ejecutores hospedados en GitHub (en lugar de las direcciones IP de Dependabot), procedentes del punto de conexión de la API de REST meta.
Warning
No debe confiar en las direcciones IP de GitHub Actions para la autenticación en registros privados. Estas direcciones GitHub Actions no solo se usan en GitHub y no deben ser de confianza para la autenticación. En su lugar, use un ejecutor de prueba interna para garantizar un mayor control sobre el acceso a la red. Para obtener más información, vea «Administración de Dependabot en ejecutores de prueba interna».
Tenga en cuenta que deshabilitar y volver a habilitar "Dependabot en ejecutores de GitHub Actions" no desencadenará una nueva ejecución de Dependabot.
Habilitar o deshabilitar el repositorio
Puede administrar Dependabot en GitHub Actions para el repositorio público o privado.
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
-
En "Dependabot", a la derecha de "Dependabot en ejecutores Acciones", haz clic en Habilitar para habilitar la característica o en Deshabilitar para deshabilitarla.
Habilitar o deshabilitar en una organización
Puedes habilitar Dependabot en GitHub Actions para todos los repositorios existentes de la organización.
Solo se actualizarán los repositorios con la siguiente configuración para ejecutar Dependabot en GitHub Actions la próxima vez que se desencadene un trabajo de Dependabot.
- Dependabot está habilitado en el repositorio.
- Se ha habilitado GitHub Actions en el repositorio.
Si un repositorio de la organización tiene habilitado Dependabot pero tiene GitHub Actions deshabilitado, Dependabot no se ejecutará en GitHub Actions, pero seguirá ejecutándose con la aplicación integrada Dependabot.
- En la esquina superior derecha de GitHub, seleccione la foto del perfil y haga clic en Sus organizaciones.
- Junto a la organización, haga clic en Settings.
- En la sección "Seguridad" de la barra lateral, haga clic en Código seguridad y a continuación en Configuración global.
- En "Dependabot", seleccione "Dependabot en ejecutores Acciones" para habilitar la característica o cancele la selección para deshabilitarla.
Para obtener más información, vea «Configuración de seguridad global para su organización».
Habilitar o deshabilitar Dependabot en ejecutores más grandes
Si se produce un error de tiempos de expiración de Dependabot y errores de memoria insuficiente, es posible que desee usar ejecutores más grandes, ya que puede configurar estos ejecutores para tener más recursos.
Note
Solo puede habilitar ejecutores más grandes para Dependabot a nivel de organización. GitHub facturará a su organización los precios normales del ejecutor de acciones. Para obtener más información, vea «Acerca de la facturación para las Acciones de GitHub».
- Agrega un ejecutor más grande a la organización y asegúrate de que el nombre especificado es
dependabot
. Para obtener más información, vea «Administración de ejecutores más grandes». - Participe en la organización en ejecutores autohospedados. Para obtener más información, vea «Administración de Dependabot en ejecutores de prueba interna». Este paso es necesario, ya que garantiza que los trabajos futuros de Dependabot se ejecuten en los ejecutores hospedados en GitHub más grandes que tengan el nombre
dependabot
.
Administrar Dependabot en ejecutores GitHub Actions
Cuando se ejecuta un trabajo Dependabot en GitHub Actions, puede revisar el historial de ejecución del flujo de trabajo directamente desde los registros de trabajo de Dependabot. Para obtener más información, vea «Visualización de registros de trabajos de Dependabot».
También puede navegar a un flujo de trabajo de Dependabot que se ejecuta desde la pestaña Acciones de un repositorio. Para obtener más información, vea «Visualizar el historial de ejecución del flujo de trabajo».
Para volver a ejecutar un trabajo de Dependabot version updates o Dependabot security updates, use el procedimiento adecuado a continuación. No puede volver a ejecutar un trabajo de Dependabot en GitHub Actions como lo haría con otros flujos de trabajo y trabajos de GitHub Actions, es decir, mediante la pestaña Acciones de un repositorio. No puede ver los datos de uso de los flujos de trabajo y los trabajos de Dependabot updates en las métricas de uso GitHub Actions de la organización.
Volver a ejecutar un trabajo de Dependabot version updates
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haga clic en Información.
-
En la barra lateral izquierda, haga clic en Gráfico de dependencias.
-
En "Gráfico de dependencias", haga clic en Dependabot .
-
A la derecha del nombre del archivo de manifiesto que le interesa, haga clic en Trabajos de actualización recientes.
-
A la derecha del archivo de manifiesto afectado, haga clic en Buscar actualizaciones para volver a ejecutar un trabajo de Dependabot version updates y buscar nuevas actualizaciones en las dependencias de ese ecosistema.
Volver a ejecutar un trabajo de Dependabot security updates
- En GitHub, navegue hasta la página principal del repositorio.
- En el nombre del repositorio, haga clic en Seguridad.
- En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haga clic en Dependabot.
- En "Dependabot", haga clic en la alerta que desee ver.
- En la sección que muestra los detalles del error de la alerta, haga clic en Intentar de nuevo para volver a ejecutar el trabajo Dependabot security updates.