Error: 403 "Recurso no accesible por la integración"

Este error se puede ver en las solicitudes de incorporación de cambios creadas por Dependabot y se puede resolver de dos maneras diferentes.

Es posible que vea Error: 403 "Resource not accessible by integration" al usar Dependabot.

El Dependabot se considera no confiable cuando activa una ejecución de flujo de trabajo y este se ejecutará con un alcance de solo lectura. Para cargar resultados de code scanning en una rama normalmente se necesita el ámbito security_events: write. Pero code scanning siempre permite que se carguen los resultados cuando el evento pull_request desencadena la ejecución de la acción. Por este motivo, para las ramas de Dependabot, se recomienda usar el evento pull_request en lugar del evento push.

Un enfoque simple es ejecutar las subidas a la rama predeterminada y cualquier otra rama que se ejecute a la larga, así como las solicitudes de cambio que se abren contra este conjunto de ramas:

on:
  push:
    branches:
      - main
  pull_request:
    branches:
      - main

Un enfoque alternativo es ejecutar todas las subidas con excepción de las ramas del Dependabot:

on:
  push:
    branches-ignore:
      - 'dependabot/**'
  pull_request:

Error persistente de análisis en la rama predeterminada

Si el Flujo de trabajo de análisis de CodeQL aún falla en una confirmación que se hizo en una rama predeterminada, debes verificar:

  • si el Dependabot fue el autor de la confirmación
  • si la solicitud de incorporación de cambios que incluye la confirmación se ha combinado mediante @dependabot squash and merge

Este tipo de confirmación por fusión tiene como autor al Dependabot y, por lo tanto, cualquier flujo de trabajo que se ejecute en la confirmación tendrá permisos de solo lectura. Si ha habilitado las actualizaciones de seguridad o de versión de code scanning y Dependabot en el repositorio, se recomienda evitar el uso del comando @dependabot squash and merge de Dependabot. En su lugar, puede habilitar la combinación automática para el repositorio. Esto significa que las solicitudes de incorporación de cambios se combinarán automáticamente cuando se cumplan todas las revisiones necesarias y se hayan superado las comprobaciones de estado. Para más información sobre cómo habilitar la combinación automática, consulta "Fusionar una solicitud de cambios automáticamente".