Configuração do envio automático de dependência para o repositório

Sobre o envio automático de dependência

O grafo de dependência analisa os arquivos de manifesto e de bloqueio de um repositório com a finalidade de ajudar os usuários no reconhecimento das dependências das quais o repositório depende. No entanto, em alguns ecossistemas, a resolução de dependências transitivas ocorre no momento da compilação e o GitHub não consegue descobrir automaticamente todas as dependências com base apenas no conteúdo do repositório.

Ao habilitar o envio automático de dependência para um repositório, o GitHub identifica automaticamente as dependências transitivas no repositório e as envia para o GitHub ao usar a API de envio de dependência. Em seguida, você pode criar relatórios sobre essas dependências ao usar o grafo de dependência.

O uso do envio automático de dependência é contabilizado nos minutos do GitHub Actions. Para obter mais informações, confira "Sobre a cobrança das GitHub Actions".

Opcionalmente, você pode escolher configurar executores com auto-hospedagem ou executores avançados hospedados pelo GitHub para o envio automático de dependência. Para obter mais informações, confira “Como usar executores com auto-hospedagem para o envio automático de dependência” e “Como usar executores avançados hospedados pelo GitHub para o envio automático de dependência”.

Pré-requisitos

O grafo de dependência deve estar habilitado no repositório para que seja possível habilitar o envio automático de dependência.

Você também deve habilitar GitHub Actions para o repositório com a finalidade de usar o envio automático de dependência. Para obter mais informações, confira "Gerenciando as configurações do GitHub Actions para um repositório".

Como habilitar o envio automático de dependência

Os administradores de repositório podem habilitar ou desabilitar o envio automático de dependência para um repositório ao seguir as etapas descritas neste procedimento.

Os proprietários da organização podem habilitar o envio automático de dependência para múltiplos repositórios ao usar uma configuração de segurança. Para obter mais informações, confira "Creating a custom security configuration".

1. Em GitHub, acesse a página principal do repositório.

2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

4. Em “Grafo de dependência”, clique no menu suspenso próximo a “Envio automático de dependência” e, em seguida, selecione Habilitar.

Após habilitar o envio automático de dependência para um repositório, o GitHub irá:

• Monitorar alterações no arquivo pom.xml na raiz do repositório em todas as ramificações do repositório.
• Executar um envio automático de dependência a cada alteração.

É possível realizar a exibição de detalhes sobre a execução dos fluxos de trabalho automáticos ao exibir a guia Ações do repositório.

Como usar executores com auto-hospedagem para o envio automático de dependência

É possível configurar executores com auto-hospedagem para realizar a execução de trabalhos de envio automático de dependência, em vez de usar a infraestrutura do GitHub Actions.

1. Realize o provisionamento de um ou mais executores com auto-hospedagem, seja no nível do repositório ou da organização. Para obter mais informações, confira "Sobre executores auto-hospedados" e "Adicionar executores auto-hospedados." Os executores com auto-hospedagem devem estar em execução no Linux ou no macOS e devem ter o Docker instalado.
2. Atribua um rótulo dependency-submission a cada executor que você deseja que o envio automático de dependência use. Para obter mais informações, confira "Usar rótulos com os executores auto-hospedados".
3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
4. Em “Grafo de dependência”, clique no menu suspenso ao lado de “Envio automático de dependência” e, em seguida, selecione Habilitar para executores com rótulos.

Após habilitados, os trabalhos de envio automático de dependência serão executados nos executores com auto-hospedagem, exceto se:

• Os executores com auto-hospedagem não estiverem disponíveis.
• Não existirem grupos de executores com a marcação do rótulo dependency-submission.

Como usar executores avançados hospedados pelo GitHub para o envio automático de dependência

Usuários do GitHub Team ou do GitHub Enterprise Cloud podem usar executores avançados para realizar a execução de envio automático de dependência.

1. Realize o provisionamento de executores avançados no nível da organização com o nome dependency-submission. Para obter mais informações, confira “Como adicionar um executor maior a uma organização”.
2. Conceda ao repositório acesso ao executor. Para obter mais informações, confira “Permitir que os repositórios acessem executores avançados”.
3. Em “Grafo de dependência”, clique no menu suspenso ao lado de “Envio automático de dependência” e, em seguida, selecione Habilitar para executores com rótulos.

Solução de problemas de envio automático de dependência

No momento, o suporte para o envio automático de dependência é somente para o Maven. O recurso usa a ação Envio da Árvore de Dependência do Maven. Para obter mais informações, confira a documentação para a ação Maven Dependency Tree Dependency Submission no GitHub Marketplace. Se o seu projeto usar uma configuração Maven não padrão, ele poderá não gerar corretamente as dependências e enviá-las para o grafo de dependência.

Leitura adicional

• "Sobre a segurança da cadeia de suprimento"
• "Usar a API de envio de dependências"