Skip to main content

Acerca de Dependabot en ejecutores de Acciones de GitHub

GitHub ejecuta automáticamente los trabajos que generan solicitudes de incorporación de cambios de Dependabot en GitHub Actions si tiene GitHub Actions habilitados para el repositorio.

¿Quién puede utilizar esta característica?

Dependabot en GitHub Actions está habilitado de forma predeterminada para todos los repositorios para los que se habilita GitHub Actions

Acerca de Dependabot en ejecutores GitHub Actions

Si habilita Dependabot en un repositorio nuevo pero tiene GitHub Actions habilitado, Dependabot se ejecutará en la aplicación heredada en GitHub Enterprise Cloud para llevar a cabo Dependabot updates.

Si habilita Dependabot en un repositorio nuevo pero tiene GitHub Actions deshabilitado, Dependabot se ejecutará en la aplicación heredada en GitHub Enterprise Cloud para llevar a cabo Dependabot updates. Esto no proporciona un buen rendimiento, visibilidad ni control de los trabajos de Dependabot updates como lo hace GitHub Actions. Si quieres usar Dependabot con GitHub Actions, debes asegurarte de que el repositorio permita GitHub Actions y, a continuación, habilita "Dependabot on Actions runners" desde la página de configuración "Code security" del repositorio.

Note

Las versiones futuras de GitHub siempre ejecutarán Dependabot mediante GitHub Actions, y ya no tendrá la opción de habilitar o deshabilitar esta configuración.

El uso de los ejecutores de GitHub Actions permite identificar más fácilmente los errores de trabajo de Dependabot y detectar y solucionar manualmente las ejecuciones con errores. También puede integrar Dependabot en las canalizaciones de CI/CD mediante las API y webhooks de GitHub Actions para detectar el estado del trabajo de Dependabot como ejecuciones con errores y realizar el procesamiento de bajada. Para más información, consulta Terminales de REST para la API de Acciones de GitHub y Eventos y cargas de webhook.

Note

La ejecución de Dependabot en ejecutores hospedados en GitHub y de prueba interna no cuenta para los minutos incluidos de GitHub Actions. Para más información, consulta Acerca de la facturación para las Acciones de GitHub.

Puede ejecutarDependabot en GitHub Actions mediante:

  • Ejecutores alojado en GitHub
  • Ejecutores más grandes. Estos ejecutores están hospedados en GitHub y cuentan con funciones avanzadas, como más RAM, CPU y espacio en disco. Para más información, consulta Uso de ejecutores más grandes.
  • Ejecutores autohospedados

Note

Dependabot no admite el uso de redes privadas con una instancia de Azure Virtual Network (VNET) o Actions Runner Controller (ARC).

Habilitar Dependabot en GitHub Actions puede aumentar el número de trabajos simultáneos ejecutados en su cuenta. Si es necesario, los clientes de planes empresariales pueden solicitar un límite mayor para trabajos simultáneos. Para más información, ponte en contacto con Portal de soporte de GitHub o su representante de ventas.

Si va a realizar la transición al uso de Dependabot en los ejecutores de GitHub Actions y restringe el acceso a los recursos privados del repositorio o de la organización, es posible que tenga que actualizar la lista de direcciones IP permitidas. Por ejemplo, si actualmente limita el acceso a los recursos privados a las direcciones IP que usa Dependabot, debe actualizar la lista de permitidos para usar las direcciones IP de los ejecutores hospedados en GitHub procedentes del punto de conexión de API meta. Para más información, consulta Puntos de conexión de la API de REST para metadatos.

Al aplicar una directiva para permitir acciones y flujos de trabajo reutilizables en su empresa, y habilitar Dependabot en GitHub Actions, Dependabot no se ejecutará. Para permitir que Dependabot se ejecute con las acciones empresariales y los flujos de trabajo reutilizables, debe elegir permitir acciones creadas por GitHub, o permitir las acciones y flujos de trabajo reutilizables especificados. Para obtener más información, vea «Requerir políticas para las GitHub Actions en tu empresa».

Habilitar o deshabilitar Dependabot en ejecutores hospedados en GitHub

Esta sección solo se aplica a los ejecutores estándar hospedados en GitHub, no a ejecutores de mayor capacidad.

Los nuevos repositorios que cree en su cuenta de usuario o en su organización se configurarán automáticamente para ejecutar Dependabot en GitHub Actions si alguno de los siguientes valores es true:

  • Dependabot está instalado y habilitado, y GitHub Actions está habilitado y en uso.
  • La configuración de "Dependabot en ejecutores de GitHub Actions de la organización está habilitada.

En el caso de los repositorios existentes, puede optar por ejecutar Dependabot en GitHub Actions como se indica a continuación.

Las versiones futuras de GitHub Enterprise Cloud quitarán la capacidad de deshabilitar la ejecución de Dependabot en GitHub Actions.

Si restringe el acceso a los recursos privados del repositorio o de la organización, es posible que tenga que actualizar la lista de direcciones IP permitidas antes de habilitar Dependabot en ejecutores de GitHub Actions. Puede actualizar la lista de direcciones IP permitidas para que usen las direcciones IP de los ejecutores hospedados en GitHub (en lugar de las direcciones IP de Dependabot), procedentes del punto de conexión de la API de REST meta.

Warning

No debe confiar en las direcciones IP de GitHub Actions para la autenticación en registros privados. Estas direcciones GitHub Actions no solo se usan en GitHub y no deben ser de confianza para la autenticación. En su lugar, use un ejecutor de prueba interna para garantizar un mayor control sobre el acceso a la red. Para más información, consulta Managing Dependabot on self-hosted runners.

Tenga en cuenta que deshabilitar y volver a habilitar "Dependabot en ejecutores de GitHub Actions" no desencadenará una nueva ejecución de Dependabot.

Habilitar o deshabilitar el repositorio

Puede administrar Dependabot en GitHub Actions para el repositorio público, privado o interno.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Code security.

  4. En "Dependabot", a la derecha de "Dependabot en ejecutores Acciones", haz clic en Habilitar para habilitar la característica o en Deshabilitar para deshabilitarla.

Habilitar o deshabilitar en una organización

Puedes habilitar Dependabot en GitHub Actions para todos los repositorios existentes de la organización.

Solo se actualizarán los repositorios con la siguiente configuración para ejecutar Dependabot en GitHub Actions la próxima vez que se desencadene un trabajo de Dependabot.

  • Dependabot está habilitado en el repositorio.
  • Se ha habilitado GitHub Actions en el repositorio.

Si un repositorio de la organización tiene habilitado Dependabot pero tiene GitHub Actions deshabilitado, Dependabot no se ejecutará en GitHub Actions, pero seguirá ejecutándose con la aplicación integrada Dependabot.

  1. En la esquina superior derecha de GitHub, seleccione la foto del perfil y haga clic en Sus organizaciones.
  2. Junto a la organización, haga clic en Settings.
  3. En la sección "Seguridad" de la barra lateral, haga clic en Código seguridad y a continuación en Configuración global.
  4. En "Dependabot", seleccione "Dependabot en ejecutores Acciones" para habilitar la característica o cancele la selección para deshabilitarla.

Para más información, consulta Configuración de seguridad global para su organización.

Habilitar o deshabilitar Dependabot en ejecutores más grandes

Si se produce un error de tiempos de expiración de Dependabot y errores de memoria insuficiente, es posible que desee usar ejecutores más grandes, ya que puede configurar estos ejecutores para tener más recursos.

Note

Solo puede habilitar ejecutores más grandes para Dependabot a nivel de organización. GitHub facturará a su organización los precios normales del ejecutor de acciones. Para más información, consulta Acerca de la facturación para las Acciones de GitHub.

  1. Agrega un ejecutor más grande a la organización y asegúrate de que el nombre especificado es dependabot. Para más información, consulta Administración de ejecutores más grandes.
  2. Participe en la organización en ejecutores autohospedados. Para más información, consulta Managing Dependabot on self-hosted runners. Este paso es necesario, ya que garantiza que los trabajos futuros de Dependabot se ejecuten en los ejecutores hospedados en GitHub más grandes que tengan el nombre dependabot.

Administrar Dependabot en ejecutores GitHub Actions

Cuando se ejecuta un trabajo Dependabot en GitHub Actions, puede revisar el historial de ejecución del flujo de trabajo directamente desde los registros de trabajo de Dependabot. Para más información, consulta Viewing Dependabot job logs.

También puede navegar a un flujo de trabajo de Dependabot que se ejecuta desde la pestaña Acciones de un repositorio. Para más información, consulta Visualizar el historial de ejecución del flujo de trabajo.

Para volver a ejecutar un trabajo de Dependabot version updates o Dependabot security updates, use el procedimiento adecuado a continuación. No puede volver a ejecutar un trabajo de Dependabot en GitHub Actions como lo haría con otros flujos de trabajo y trabajos de GitHub Actions, es decir, mediante la pestaña Acciones de un repositorio. No puede ver los datos de uso de los flujos de trabajo y los trabajos de Dependabot updates en las métricas de uso GitHub Actions de la organización.

Volver a ejecutar un trabajo de Dependabot version updates

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haga clic en Información.

    Captura de pantalla de la página principal de un repositorio. En la barra de navegación horizontal, una pestaña, etiquetada con un icono de grafo y "Información", se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haga clic en Gráfico de dependencias.

    Captura de pantalla de la pestaña "Gráfico de dependencias". La pestaña está resaltada con un contorno naranja.

  4. En "Gráfico de dependencias", haga clic en Dependabot .

  5. A la derecha del nombre del archivo de manifiesto que le interesa, haga clic en Trabajos de actualización recientes.

  6. A la derecha del archivo de manifiesto afectado, haga clic en Buscar actualizaciones para volver a ejecutar un trabajo de Dependabot version updates y buscar nuevas actualizaciones en las dependencias de ese ecosistema.

Volver a ejecutar un trabajo de Dependabot security updates

  1. En GitHub, navegue hasta la página principal del repositorio.
  2. En el nombre del repositorio, haga clic en Seguridad.
  3. En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haga clic en Dependabot.
  4. En "Dependabot", haga clic en la alerta que desee ver.
  5. En la sección que muestra los detalles del error de la alerta, haga clic en Intentar de nuevo para volver a ejecutar el trabajo Dependabot security updates.

Información adicional