セルフホステッド ランナーでの Dependabot の管理

Dependabot がプライベート レジストリと内部ネットワーク リソースにアクセスするために使用する GitHub Actions セルフホステッド ランナーを構成できます。

この機能を使用できるユーザーについて

Organization owners and repository administrators can configure Dependabot to run on self-hosted runners.

この記事の内容

Note

GitHub Actions で Dependabot を実行するようにオプトインする必要があります。 GitHub の今後のリリースでは、オプトインする機能が削除され、常に GitHub Actions で Dependabot が実行されます。 詳しくは、「GitHub Actions ランナーの Dependabot について」を参照してください。

GitHub Actions セルフホステッド ランナーでの Dependabot について

Dependabot のセキュリティとバージョン更新プログラムを設定することで、組織とリポジトリのユーザーが、安全なコードを作成して管理できるようにします。 Dependabot updatesを使用すると、開発者は、依存関係が自動的に更新されてセキュアな状態が維持されるようにリポジトリを構成できます。 GitHub Actions で Dependabot を実行すると、パフォーマンスが向上し、Dependabot ジョブの可視性と制御が向上します。

プライベート レジストリと内部ネットワーク リソースへの Dependabot のアクセスをより詳細に制御するには、Dependabot を GitHub Actions セルフホステッド ランナーで実行するように構成します。

セキュリティ上の理由から、Dependabot を GitHub Actions セルフホステッド ランナーで実行する場合、Dependabot updates はパブリック リポジトリでは実行されません。

GitHub ホステッド ランナーを使用する場合のプライベート レジストリへの Dependabot アクセスの構成の詳細については、「Dependabot のプライベート レジストリの構成に関するガイダンス」を参照してください。 プライベート レジストリとしてサポートされているエコシステムの詳細については、「パブリック レジストリへの Dependabot アクセスの削除」を参照してください。

前提条件

Dependabot がインストールされ、有効になり、GitHub Actions が有効になり、使用中である必要があります。 組織の [GitHub Actions ランナーの Dependabot] 設定も有効になっている必要があります。 詳しくは、「GitHub Actions ランナーの Dependabot について」を参照してください。

GitHub Actions が組織またはリポジトリに対して有効になっていない場合、GitHub Actions ランナーで "Dependabot" を有効にする組織またはリポジトリ レベルの設定はウェブ UI に表示されません。

組織では、アクションとセルフホステッド ランナーが特定のリポジトリでの実行を制限するようにポリシーを構成している可能性があります。これにより、Dependabot が GitHub Actions セルフホステッド ランナーで実行できなくなります。 この場合、"Dependabot on self-hosted runners" を有効にする組織またはリポジトリ レベルの設定は、ウェブ UI に表示されません。 詳しくは、「Organization について GitHub Actions を無効化または制限する」を参照してください。

Dependabot updates用のセルフホステッド ランナーの構成

GitHub Actions で Dependabot を実行するように組織またはリポジトリを構成した後、セルフホステッド ランナーで Dependabot を有効にする前に、Dependabot updates のセルフホステッド ランナーを構成する必要があります。

Dependabot ランナーのシステム要件

Dependabot ランナーのために使用する 仮想マシン (VM) は、セルフホステッド ランナーの要件を満たす必要があります。 さらに、次の要件も満たしている必要があります。

  • Linux オペレーティング システム

  • x64 アーキテクチャ

  • Docker がランナー ユーザーのアクセス権を使用してインストールされていること:

    • Docker をルートレス モードでインストールし、root 権限なしで Docker にアクセスするようにランナーを構成することをお勧めします。
    • または、Docker をインストールしてから、Docker を実行するための昇格権限をランナー ユーザーに付与します。

CPU とメモリの要件は、特定の VM にデプロイする同時実行ランナーの数によって異なります。 ガイダンスとしては、1 台の 2 CPU 8 GB マシンに 20 台のランナーを正常に設定できました。ただし、最終的に CPU とメモリの要件は更新対象のリポジトリによって大きく異なります。 エコシステムによっては、他のエコシステムよりも多くのリソースが必要になります。

14 を超える同時実行ランナーを 1 つの VM に指定する場合は、Docker が作成できるネットワークの既定数を増やすように Docker の /etc/docker/daemon.json 構成も更新する必要があります。

{
  "default-address-pools": [
    {"base":"10.10.0.0/16","size":24}
  ]
}

Dependabot ランナーのネットワーク要件

Dependabot ランナーは、パブリック インターネット、GitHub.com、および Dependabot updates 更新プログラムで使用されるすべての内部レジストリへのアクセスが必要です。 内部ネットワークに対するリスクを最小限に抑えるには、仮想マシン (VM) から内部ネットワークへのアクセスを制限する必要があります。 これにより、ハイジャックされた依存関係をランナーがダウンロードした場合に、内部システムが損害を受ける可能性が減少します。

Dependabot ランナーの構成の認定

Dependabot が自己署名証明書を使用するレジストリと対話する必要がある場合、それらの証明書は、Dependabot ジョブを実行するセルフホステッド ランナーにもインストールする必要があります。 このセキュリティにより、接続が強化されます。 また、ほとんどのアクションは JavaScript で記述され、オペレーティング システムの証明書ストアを使用しない Node.js を使用して実行されるため、証明書を使用するように Node.js を構成する必要があります。

Dependabot 更新プログラム用のセルフホステッド ランナーの追加

  1. セルフホステッド ランナーを、リポジトリまたは組織レベルでプロビジョニングします。 詳細については、「セルフホステッド ランナーの概要」および「自己ホストランナーの追加」を参照してください。

  2. 上記の要件を使用して、セルフホステッド ランナーを設定します。 たとえば、Ubuntu 20.04 を実行している VM では、次のようになります。

  3. dependabot ラベルを、Dependabot で使用する各ランナーに割り当てます。 詳しくは、「セルフホストランナーとのラベルの利用」を参照してください。

  4. 必要に応じて、Dependabot によってトリガーされるワークフローで、読み取り専用を上回るアクセス許可を使用し、通常提供されているシークレットにアクセスできるようにします。 詳しくは、「GitHub ActionsでのDependabotの自動化」を参照してください。

Dependabot updates のセルフホステッド ランナーの有効化

Dependabot updates のセルフホステッド ランナーを構成したら、組織レベルまたはリポジトリ レベルのセルフホステッド ランナーで Dependabot updates を有効または無効にすることができます。

[セルフホステッド ランナーでの Dependabot] 設定を無効にして再度有効にしても、新しい Dependabot の実行はトリガーされません。

リポジトリでの有効化または無効化

プライベート リポジトリのセルフホステッド ランナーで Dependabot を管理できます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。1. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
    1. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。>[!NOTE] Organization が security configurations と global settings パブリック ベータに登録されている場合は、[コード のセキュリティと分析] ではなく、[コード セキュリティ] ドロップダウン メニューが表示されます。 [コード セキュリティ] を選択し、[構成] をクリックします。 セルフホステッド ランナーで Dependabot を有効にする次の手順と、security configurations を使用した大規模なその他のセキュリティ機能については、「組織での GitHub で推奨されるセキュリティ構成の適用」を参照してください。

  2. [コードのセキュリティと分析] の [セルフホステッド ランナーでの Dependabot] の右側にある [有効] または [無効] をクリックして、機能を有効または無効にします。

組織での有効化または無効化

"コードのセキュリティと分析" の組織設定ページを使用すると、組織内のすべての既存の プライベート リポジトリに対して、セルフホステッド ランナーで Dependabot を有効にすることができます。 次に Dependabot ジョブがトリガーされるときに、セルフホステッド ランナーで Dependabot を実行するように、GitHub Actions で Dependabot を実行するようにすでに構成されたリポジトリのみが更新されます。

  1. GitHub.com の右上隅にあるプロファイル写真を選択し、次に自分の組織をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。

  2. 組織の隣の [設定] をクリックします。1. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。>[!NOTE] Organization が security configurations と global settings パブリック ベータに登録されている場合は、[コード のセキュリティと分析] ではなく、[コード セキュリティ] ドロップダウン メニューが表示されます。 [コード セキュリティ] を選択し、[構成] をクリックします。 セルフホステッド ランナーで Dependabot を有効にする次の手順と、security configurations を使用した大規模なその他のセキュリティ機能については、「組織での GitHub で推奨されるセキュリティ構成の適用」を参照してください。

  3. [コードのセキュリティと分析] の [セルフホステッド ランナーでの Dependabot] の右側にある [すべて有効] または [すべて無効] をクリックして、機能を有効または無効にします。

  4. 必要に応じて、[新しいリポジトリで自動的に有効にする] を選択して、組織の新しいリポジトリに対してセルフホステッド ランナーで Dependabot を既定で有効にします。