Acerca de las actualizaciones de Dependabot
Puede usar Dependabot updates para corregir vulnerabilidades y mantener las dependencias actualizadas a la versión más reciente en GitHub Enterprise Server. Las Dependabot updates requieren GitHub Actions con ejecutores autohospedados configurados para que Dependabot los use. Las alertas y las actualizaciones de seguridad de Dependabot usan la información extraída de GitHub Advisory Database a la que se accede mediante GitHub Connect. Para obtener más información, vea «Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa» y «Habilitación de Dependabot para la empresa».
Dependabot puede acceder a los registros públicos de forma predeterminada, pero puedes configurar Dependabot para que acceda a los privados también. Opcionalmente, si su instancia tiene acceso limitado a Internet (o directamente no tiene), puede configurar Dependabot para que use solo registros privados como origen de las actualizaciones de seguridad y de versión. Para obtener información sobre qué ecosistemas se admiten como registros privados, consulta "Eliminación del acceso de Dependabot a registros públicos".
En las instrucciones siguientes se da por hecho que debes configurar ejecutores de Dependabot con las siguientes limitaciones.
- No hay acceso a Internet.
- Se permite el acceso solo a recursos internos limitados, como los registros privados de Dependabot.
Restricción del acceso a Internet para ejecutores de Dependabot
Antes de configurar Dependabot, instala Docker en el ejecutor autohospedado. Para obtener más información, vea «Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa».
-
En GitHub Enterprise Server, vaya al repositorio
github/dependabot-action
y recupere información sobre las imágenes de contenedordependabot-updater
ydependabot-proxy
del archivocontainers.json
.Cada versión de GitHub Enterprise Server incluye un archivo
containers.json
actualizado aquí:https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json
. Puedes ver la versión de GitHub.com del archivo aquí: containers.json. -
Carga previamente todas las imágenes de contenedor del Container registry de GitHub en el ejecutor de Dependabot mediante el comando
docker pull
. Si quiere, cargue previamente la imagendependabot-proxy
y, a continuación, cargue previamente solo las imágenes de contenedor de los ecosistemas que necesite.Por ejemplo, para permitir el uso de npm y GitHub Actions, podrías usar los siguientes comandos, copiando los detalles de las imágenes que se van a cargar desde el archivo
containers.json
para asegurarte de que tienes la versión y el SHA correctos de cada imagen.docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA
Nota: Deberás repetir este paso cuando actualices a una nueva versión secundaria de GitHub Enterprise Server o si actualizas manualmente la acción de Dependabot desde GitHub.com. Para obtener más información, vea «Sincronización manual de acciones desde GitHub.com».
-
Cuando haya terminado de agregar estas imágenes al ejecutor, estará listo para restringir el acceso a Internet del ejecutor de Dependabot, si bien procurando que pueda seguir accediendo a sus registros privados para los ecosistemas necesarios y a GitHub Enterprise Server.
Primero debes agregar las imágenes, porque los ejecutores de Dependabot extraen
dependabot-updater
ydependabot-proxy
del Container registry de GitHub cuando los trabajos de Dependabot empiezan a ejecutarse.
Comprobación de la configuración de los ejecutores de Dependabot
- En un repositorio de prueba, configura Dependabot para que acceda a registros privados, y quita el acceso a los registros públicos. Para obtener más información, vea «Configuración del acceso a registros privados para Dependabot» y «Eliminación del acceso de Dependabot a registros públicos».
- En la pestaña Datos del repositorio, haz clic en Gráfico de dependencias para ver los detalles de las dependencias.
- Haz clic en Dependabot para ver los ecosistemas configurados para las actualizaciones de versiones.
- Con respecto a los ecosistemas que quieras comprobar, haz clic en Comprobado por última vez hace TIEMPO para abrir la vista "Registros de actualización".
- Haz clic en Buscar actualizaciones para buscar las nuevas actualizaciones de las dependencias de ese ecosistema.
Cuando finalice la comprobación de actualizaciones, debe consultar la vista "Registros de actualización" y confirmar que Dependabot ha accedido a los registros privados configurados en su instancia para ver si hay actualizaciones de versiones.
Tras comprobar que la configuración es correcta, pide a los administradores del repositorio que actualicen sus configuraciones de Dependabot para que solo usen registros privados. Para obtener más información, vea «Eliminación del acceso de Dependabot a registros públicos».