Nota: La seguridad del Dependabot y las actualizaciones de versión actualmente se encuentran en beta público y están sujetas a cambios.
Acerca de los ejecutores auto-hospedados para las Actualizaciones del dependabot
Puedes ayudar a que los usuarios de tu instancia de GitHub Enterprise Server creen y mantengan un código seguro si configuras la seguridad y las actualizaciones de versión del Dependabot. Con las Actualizaciones del dependabot, los desarrolladores pueden configurar repositorios para que sus dependencias se actualicen y se mantengan seguras automáticamente. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".
Para utilizar las Actualizaciones del dependabot en tu instancia de GitHub Enterprise Server, debes configurar los ejecutores auto-hospedados para crear las solicitudes de cambios que actualizarán las dependencias.
Prerrequisitos
El configurar los ejecutores auto-hospedados es solo un paso en medio del proceso para habilitar las Actualizaciones del dependabot. Hay varios pasos que debes seguir antes de estos, incluyendo el configurar a tu instancia de GitHub Enterprise Server para utilizar GitHub Actions con ejecutores auto-hospedados. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".
Configurar los ejecutores auto-hospedados para las Actualizaciones del dependabot
Después de que configuras tu instancia de GitHub Enterprise Server para que utilice las GitHub Actions, necesitas agregar ejecutores auto-hospedados para las Actualizaciones del dependabot.
Requisitos de sistema para los ejecutores del Dependabot
Cualquier máquina virtual que utilices para los ejecutores del Dependabot debe cumplir con los requisitos de los ejecutores auto-hospedados. Adicionalmente, deben cumplir con los siguientes requisitos.
- Sistema operativo Linux
- Git instalado
- Docker instalado con acceso para los usuarios del ejecutor:
- Recomendamos instalar Docker en modo sin raíz y configurar los ejecutores para acceder a Docker sin privilegios de
root. - Como alternativa, instala Docker y otorga a los usuarios del ejecutor privilegios superiores para ejecutarlo.
- Recomendamos instalar Docker en modo sin raíz y configurar los ejecutores para acceder a Docker sin privilegios de
Los requisitos de memoria y CPU dependerán de la cantidad de ejecutores simultáneos que despliegues en una MV determinada. Como orientación, configuramos exitosamente 20 ejecutores en una sola máquina de 2 CPU y 8 GB pero, en última instancia, tus requisitos de memoria y CPU dependerán fuertemente de los repositorios que se vayan a actualizar. Algunos ecosistemas requerirán más recursos que otros.
Si especificas más de 14 ejecutores simultáneos en una MV, también debes actualizar la configuración de /etc/docker/daemon.json de Docker para incrementar la cantidad predeterminada de redes que Docker puede crear.
{
"default-address-pools": [
{"base":"10.10.0.0/16","size":24}
]
}
Requisitos de red para los ejecutores del Dependabot
Los ejecutores del Dependabot necesitan acceso al internet público, a GitHub.com y a cualquier registro interno que se utilizará en las actualizaciones del Dependabot. Para minimizar el riesgo de tu red interna, debes limitar el acceso desde la máquina virtual (MV) a tu red interna. Esto reduce el potencial de daño a los sistemas internos si un ejecutor descargara una dependencia secuestrada.
Agregar ejecutores auto-hospedados para las actualizaciones del Dependabot
-
Aprovisionar los ejecutores auto-hospedados a nivel de cuenta empresarial, organizacional o de repositorio. Para obtener más información, consulta las secciones "Acerca de los ejecutores auto-hospedados" y "Agregar ejecutores auto-hospedados".
-
Configurar los ejecutores auto hospedados con los requisitos que se describen anteriormente. Por ejemplo, en una MV que ejecuta Ubuntu 20.04, podrías:
- Verificar que Git está instalado:
command -v git - Instalar Docker y asegurarte de que los usuarios del ejecutor tengan acceso a él. Para obtener más información, consulta la documentación de Docker.
- Instalar Docker Engine en Ubuntu
- Enfoque recomendado: Ejecuta el Docker daemon como un usuario no raíz (Modo sin raíz)
- Enfoque alterno: Administra Docker como un usuario sin raíz
- Verificar que los ejecutores tengan acceso al internet público y solo puedan acceder a las redes internas que necesita el Dependabot.
- Verificar que Git está instalado:
-
Asignar una etiqueta del
dependabota cada ejecutor que quieras que utilice el Dependabot. Para obtener más información, consulta la sección "Utilizar etiquetas con ejecutores auto-hospedados". -
Opcionalmente, habilitar los flujos de trabajo que activa el Dependabot para utilizar más que los permisos de solo lectura y para tener acceso a cualquier secreto que esté disponible habitualmente. Para obtener más información, consulta la sección "Solucionar los problemas de las GitHub Actions en tu empresa".