Sobre este erro
403: Resource not accessible by integration
Esse erro pode ocorrer quando você usar o Dependabot.
O Dependabot não será considerado confiável quando o fluxo de trabalho acionado é executado com escopos somente leitura.
Confirmar a causa do erro
Se você usa o Dependabot no fluxo de trabalho code scanning, investigue o escopo usado.
Em geral, o upload dos resultados da code scanning em um branch exige o escopo security_events: write
. No entanto, a code scanning sempre permite o upload dos resultados quando o evento pull_request
dispara a execução da ação. É por isso que, para os branches do Dependabot, recomendamos que você use o evento pull_request
em vez do evento push
.
Corrigir o problema
É possível executar pushes no branch padrão e em todos os outros branches importantes de execução longa, além de pull requests abertas neste conjunto de branches:
on:
push:
branches:
- main
pull_request:
branches:
- main
Outra opção é executar em todos os pushes, exceto em branches Dependabot:
on:
push:
branches-ignore:
- 'dependabot/**'
pull_request:
Para obter mais informações sobre como editar o arquivo de fluxo de trabalho do CodeQL, confira "Como personalizar sua configuração avançada para a verificação de código".
A análise ainda falha na ramificação padrão
Se o Fluxo de trabalho de análise do CodeQL ainda falhar em um commit criado no branch padrão, você precisará verificar:
- se Dependabot criou o commit
- se a solicitação de pull que inclui o commit foi mesclada por meio de
@dependabot squash and merge
Este tipo de commit de merge foi criado por Dependabot e, portanto, qualquer fluxo de trabalho que esteja em execução no commit terá permissões de somente leitura. Se você habilitou as atualizações de segurança ou as atualizações de versão da code scanning e do Dependabot no seu repositório, recomendamos que você evite usar o comando @dependabot squash and merge
do Dependabot. Em vez disso, você pode habilitar a mesclagem automática para seu repositório. Isso significa que as solicitações de pull serão mescladas automaticamente quando todas as revisões necessárias forem atendidas e as verificações de status tiverem passado. Para obter mais informações sobre como habilitar a mesclagem automática, confira "Fazer merge automático de um pull request".