Sobre o Dependabot em executores do GitHub Actions

A execução do Dependabot no GitHub Actions permite um desempenho melhor e maior visibilidade e controle de trabalhos do Dependabot.

Quem pode usar esse recurso?

Organization owners and repository administrators can enable Dependabot on GitHub Actions.

Neste artigo

Note

Você deve optar por executar o Dependabot no GitHub Actions. Versões futuras do GitHub removerão a capacidade de aceitar e sempre executar o Dependabot no GitHub Actions. Para obter mais informações, confira "Sobre o Dependabot em executores do GitHub Actions".

Sobre o Dependabot em executores do GitHub Actions

Por padrão, Dependabot updates são executadas usando o aplicativo interno do Dependabot no GitHub. Em vez disso, você pode optar por executar Dependabot updates no GitHub Actions, para usufruir de desempenho melhor e maior visibilidade e controle de trabalhos de Dependabot updates.

O uso de executores do GitHub Actions permite identificar mais facilmente erros de trabalho do Dependabot e detectar e solucionar manualmente problemas de execuções com falha. Você também pode integrar o Dependabot em seus pipelines de CI/CD usando APIs e webhooks do GitHub Actions para detectar status de trabalho do Dependabot, como execuções com falha, e executar processamento downstream. Para obter mais informações, confira "Pontos de extremidade da API REST do GitHub Actions" e "Eventos e cargas de webhook."

Não é possível executar o Dependabot no GitHub Actions em executores auto-hospedados ou executores avançados. Não há suporte para o uso de rede privada com uma Rede Virtual do Azure (VNET) ou com o Actions Runner Controller (ARC).

A execução do Dependabot em executores hospedados em GitHub não conta para seus minutos do GitHub Actions. Para obter mais informações, confira "Sobre a cobrança das GitHub Actions".

Habilitar o Dependabot no GitHub Actions pode aumentar o número de trabalhos simultâneos executados em sua conta. Se necessário, os clientes em planos corporativos podem solicitar um limite mais alto para trabalhos simultâneos. Para obter mais informações, entre em contato conosco por meio do Portal de Suporte do GitHub ou entre em contato com seu representante de vendas.

Se você fizer a transição para o uso do Dependabot em executores do GitHub Actions e restringir o acesso aos recursos privados da sua organização ou do repositório, talvez seja necessário atualizar sua lista de endereços IP permitidos. Por exemplo, se você atualmente limita o acesso aos seus recursos privados aos endereços IP que Dependabot usa, atualize sua lista de permissões para usar os endereços IP de executores hospedados em GitHub originados do ponto de extremidade da meta API. Para obter mais informações, confira "Pontos de extremidade da API REST para metadados".

Habilitar ou desabilitar o Dependabot em executores do GitHub Actions

Os novos repositórios criados na conta de usuário ou na organização serão configurados automaticamente para executar o Dependabot no GitHub Actions se qualquer uma das seguintes opções for verdadeira:

  • O Dependabot está instalado e habilitado e o GitHub Actions está habilitado e em uso.
  • A configuração "Dependabot em executores do GitHub Actions" para sua organização está habilitada.

Para repositórios existentes, você pode optar por executar o Dependabot no GitHub Actions da seguinte maneira.

Versões futuras do GitHub removerão a capacidade de desabilitar a execução do Dependabot no GitHub Actions.

Se você restringir o acesso aos recursos privados da sua organização ou repositório, talvez seja necessário atualizar sua lista de endereços IP permitidos antes de habilitar o Dependabot em executores do GitHub Actions. Você pode atualizar sua lista de permissões de IP para usar os endereços IP de executores hospedados em GitHub (em vez dos endereços IP do Dependabot), originados do ponto de extremidade da meta API REST.

Warning

Você não deve confiar nos endereços IP do GitHub Actions para autenticação em registros privados. Esses endereços do GitHub Actions não são usados apenas por GitHub e não são confiáveis para autenticação. Em uma versão futura, você poderá usar um executor auto-hospedado ou executor maior para garantir maior controle sobre o acesso à rede.

Observe que desabilitar e habilitar novamente as configurações de "Dependabot em executores do GitHub Actions" não acionará uma nova execução do Dependabot.

Habilitar ou desabilitar seu repositório

Você pode gerenciar o Dependabot no GitHub Actions para seu repositório público ou privado.

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Em "Segurança e análise de código", à direita de "Dependabot em executores do GitHub Actions", selecione Habilitar para habilitar o recurso ou Desabilitar para desabilitá-lo.

Habilitar ou desabilitar em sua organização

Você pode usar a página de configurações da organização para "Segurança e análise de código" para habilitar o Dependabot no GitHub Actions para todos os repositórios existentes em uma organização. Somente repositórios com a configuração a seguir serão atualizados para executar o Dependabot no GitHub Actions na próxima vez que um trabalho do Dependabot for disparado.

  • O Dependabot está habilitado no repositório.
  • O GitHub Actions está habilitado no repositório.

Quando o Dependabot está habilitado para um repositório em sua organização, mas o GitHub Actions está desabilitado, o Dependabot não é executado no GitHub Actions. Nesse caso, ele continua a ser executado usando o aplicativo interno do Dependabot.

  1. No canto superior direito do GitHub.com, selecione sua foto do perfil e em Suas organizações.

    Captura de tela do menu suspenso na imagem de perfil do @octocat. "Suas organizações" está contornado em laranja escuro.

  2. Ao lado da organização, clique em Configurações.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Em "Segurança e análise de código", à direita de "Dependabot em executores do GitHub Actions", selecione Habilitar tudo para habilitar o recurso ou Desabilitar tudo para desabilitá-lo.

Gerenciar o Dependabot em executores do GitHub Actions

Quando um trabalho Dependabot no GitHub Actions é executado, você pode revisar o histórico de execução do fluxo de trabalho diretamente dos logs de trabalho do Dependabot. Para obter mais informações, confira "Exibir logs de trabalho do Dependabot".

Você também pode navegar até um fluxo de trabalho do Dependabot executado na guia Actions em um repositório. Para obter mais informações, confira "Visualizar o histórico de execução do fluxo de trabalho".

Para executar novamente um trabalho de Dependabot version updates ou de Dependabot security updates, use o procedimento apropriado abaixo. Não é possível executar novamente um trabalho do Dependabot no GitHub Actions da mesma forma que para outros fluxos de trabalho e trabalhos do GitHub Actions, ou seja, usando a guia Actions em um repositório. Não é possível exibir dados de uso para fluxos de trabalho e trabalhos de Dependabot updates nas métricas de uso do GitHub Actions da sua organização.

Executar novamente um trabalho de Dependabot version updates

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Insights.

    Captura de tela da página principal de um repositório. Na barra de navegação horizontal, uma guia, rotulada com um ícone de grafo e "Insights", é destacada em laranja escuro.

  3. Na barra lateral esquerda, clique em Grafo de dependência.

    Captura de tela da guia "Grafo de dependência". A guia está realçada com um contorno laranja.

  4. Em "Grafo de dependência", clique em Dependabot .

  5. À direita do nome do arquivo de manifesto no qual você está interessado, clique em Trabalhos de atualização recentes.

  6. À direita do arquivo de manifesto afetado, selecione Verificar se há atualizações para executar novamente um trabalho de Dependabot version updates e verificar se há novas atualizações para dependências desse ecossistema.

Executar novamente um trabalho de Dependabot security updates

  1. No GitHub.com, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, selecione Segurança.
  3. Na barra lateral esquerda, em "Alertas de vulnerabilidades", selecione Dependabot.
  4. Em "Dependabot", selecione o alerta para exibição.
  5. Na seção que exibe os detalhes do erro do alerta, selecione Tentar novamente para executar novamente o trabalho de Dependabot security updates.

Solucionar problemas de falhas quando Dependabot dispara fluxos de trabalho existentes

O Dependabot criará apenas Dependabot alerts para GitHub Actions vulneráveis que usam controle de versão semântico. Você não receberá alertas sobre uma ação vulnerável que usa o controle de versão SHA. Se você usar GitHub Actions com o controle de versão SHA, recomendamos habilitar Dependabot version updates para que seu repositório ou organização mantenha as ações que você usa atualizadas com as versões mais recentes. Para obter mais informações, confira "Automatizando o Dependabot com GitHub Actions" e "Sintaxe de fluxo de trabalho para o GitHub Actions".