Solucionar los fallos cuando el Dependabot active los flujos de trabajo existentes
Después de configurar las actualizaciones del Dependabot para GitHub.com, puedes ver errores cuando los flujos de trabajo existentes los desencadenan los eventos del Dependabot.
De manera predeterminada, las ejecuciones de flujo de trabajo de GitHub Actions que se activan desde Dependabot a partir de los eventos push
, pull_request
, pull_request_review
o pull_request_review_comment
se tratan como si se abrieran desde una bifurcación de repositorio. A diferencia de los flujos de trabajo que activan otros actores, esto significa que recibieron un GITHUB_TOKEN
de solo lectura y no tienen acceso a ninguno de los secretos que normalmente se encuentran disponibles. Esto ocasionará que cualquier flujo de trabajo que intente escribir en el repositorio falle cuando los activa el Dependabot.
Hay tres formas de resolver este problema:
- Puede actualizar los flujos de trabajo para que ya nos los active Dependabot mediante una expresión como:
if: github.actor != 'dependabot[bot]'
. Para obtener más información, vea «Evaluación de expresiones en flujos de trabajo y acciones». - Puede modificar los flujos de trabajo para usar un proceso en dos pasos que incluya
pull_request_target
, que no tiene estas limitaciones. Para obtener más información, vea «Automatizar al Dependabot con las GitHub Actions». - Puede proporcionar acceso a los flujos de trabajo que activa Dependabot a secretos y permitir que el término
permissions
aumente el alcance predeterminado deGITHUB_TOKEN
. Para obtener más información, consulte "Automatizar al Dependabot con las GitHub Actions" y "Sintaxis del flujo de trabajo para Acciones de GitHub".