Skip to main content

Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa

Puedes crear ejecutores dedicados para tu instancia de GitHub Enterprise Server que use Dependabot para crear solicitudes de cambio para ayudar a asegurar y mantener las dependencias que se usan en los repositorios de tu empresa.

Acerca de los ejecutores autohospedados para Dependabot updates

Puedes ayudar a los usuarios de tu instancia de GitHub Enterprise Server a crear y mantener código seguro configurando las actualizaciones de versión y seguridad de Dependabot. Con Dependabot updates, los desarrolladores pueden configurar repositorios para que sus dependencias se actualicen y se mantengan seguras automáticamente. Para más información, consulta Habilitación de Dependabot para la empresa.

Para usar Dependabot updates en tu instancia de GitHub Enterprise Server, debes configurar ejecutores autohospedados para crear las solicitudes de incorporación de cambios que actualizarán las dependencias.

Requisitos previos

La configuración de ejecutores autohospedados supone solo un paso en mitad del proceso para habilitar Dependabot updates. Hay varios pasos que debes seguir antes de estos, incluida la configuración de tu instancia de GitHub Enterprise Server para usar GitHub Actions con ejecutores autohospedados. Para más información, consulta Habilitación de Dependabot para la empresa.

Configurar los ejecutores autohospedados para Dependabot updates

Requisitos del sistema para ejecutores de Dependabot

Cualquier máquina virtual (VM) que use para los ejecutores del Dependabot debe cumplir los requisitos de los ejecutores autohospedados. Además, deben cumplir los siguientes requisitos.

  • Sistema operativo Linux

  • Arquitectura x64

  • Tener Docker instalado con acceso para los usuarios del ejecutor:

    • Se recomienda instalar Docker en modo sin raíz y configurar los ejecutores para acceder a Docker sin privilegios root.
    • Como alternativa, instale Docker y conceda a los usuarios del ejecutor privilegios para ejecutar Docker.

Los requisitos de CPU y memoria dependerán del número de ejecutores simultáneos que implemente en una máquina virtual determinada. A modo de guía, hemos configurado correctamente 20 ejecutores en una sola máquina de 8 GB de 2 CPU pero, en última instancia, los requisitos de CPU y memoria dependerán en gran medida de los repositorios que se actualicen. Algunos ecosistemas requerirán más recursos que otros.

Si especifica más de 14 ejecutores simultáneos en una máquina virtual, también debe actualizar la configuración /etc/docker/daemon.json de Docker para aumentar el número predeterminado de redes que puede crear Docker.

{
  "default-address-pools": [
    {"base":"10.10.0.0/16","size":24}
  ]
}

Requisitos de red para ejecutores del Dependabot

Los ejecutores del Dependabot necesitan acceso al internet público, a GitHub.com y a cualquier registro interno que se utilizará en Dependabot updates. Para minimizar el riesgo de la red interna, debe limitar el acceso desde la máquina virtual (VM) a la red interna. Esto reduce la posibilidad de que se produzcan daños en los sistemas internos si un ejecutor descarga una dependencia secuestrada.

Certificado de la configuración de los ejecutores de Dependabot

Si la instancia de GitHub Enterprise Server usa un certificado autofirmado o si Dependabot debe interactuar con registros que usan certificados autofirmados, esos certificados también deben instalarse en los ejecutores autohospedados que ejecutan trabajos de Dependabot. Esta seguridad protege la conexión. También debes configurar Node.js para usar el certificado, ya que la mayoría de las acciones se escriben en JavaScript y se ejecutan utilizando Node.js, lo cual no utiliza el almacenamiento del certificado del sistema operativo.

Agregar ejecutores autohospedados para actualizaciones del Dependabot

  1. Puede aprovisionar ejecutores autohospedados en el nivel de repositorio, organización o empresa. Para más información, consulta Acerca de los ejecutores autohospedados y Agrega ejecutores auto-hospedados.

  2. Configure los ejecutores autohospedados con los requisitos descritos anteriormente. Por ejemplo, en una máquina virtual que ejecuta Ubuntu 20.04, haría lo siguiente:

  3. Asigne una etiqueta dependabot a cada ejecutor que quiera que use el Dependabot. Para más información, consulta Uso de etiquetas con ejecutores autohospedados.

  4. Opcionalmente, habilite los flujos de trabajo que desencadena Dependabot para usar permisos que sean más que de solo lectura y tener acceso a los secretos que normalmente están disponibles. Para más información, consulta Solucionar problemas en las GitHub Actions de tu empresa.