Configurando as atualizações de segurança e versão do Dependabot na sua empresa

Você pode criar executores dedicados para your GitHub Enterprise Server instance que Dependabot usa para criar pull requests a fim de ajudar a proteger e manter as dependências usadas em repositórios da sua empresa.

Note: Dependabot security and version updates are currently in private beta and subject to change. To request access to the beta release, contact your account management team.

Dica: Se your GitHub Enterprise Server instance usar clustering, você não poderá configurar a segurança de Dependabot e as atualizações de versão, uma vez que GitHub Actions não é compatível no modo cluster.

Sobre as atualizações do Dependabot

Ao configurar Dependabot de segurança e atualizações de versão para your GitHub Enterprise Server instance, os usuários podem configurar os repositórios para que suas dependências sejam atualizadas e mantidas seguras automaticamente. Este é um passo importante para ajudar os desenvolvedores a criar e manter o código seguro.

Os usuários podem configurar Dependabot para criar pull requests e atualizar as suas dependências usando duas funcionalidades.

  • Atualizações de versão do Dependabot: Os usuários adicionam um arquivo de configuração de Dependabot ao repositório para habilitar Dependabot e criar pull requests quando uma nova versão de uma dependência monitorada for lançada. Para obter mais informações, consulte "Sobre Atualizações de versão do Dependabot".
  • Atualizações de segurança do Dependabot: Os usuários alternam uma configuração de repositório para habilitar Dependabot para criar pull requests quando GitHub detecta uma vulnerabilidade em uma das dependências do gráfico de dependências para o repositório. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis" eSobre Atualizações de segurança do Dependabot".

Pré-requisitos para atualizações de Dependabot

Ambos os tipos de atualização de Dependabot têm os seguintes requisitos.

Além disso, Atualizações de segurança do Dependabot depende do gráfico de dependências, dados de vulnerabilidades de GitHub Connect e Alertas do Dependabot. Essas funcionalidades devem ser habilitadas em your GitHub Enterprise Server instance. Para obter mais informações, consulteHabilitando o gráfico de dependências e Alertas do Dependabot na sua conta corporativa."

Configurando executores auto-hospedados para atualizações de Dependabot

Quando você tiver configurado your GitHub Enterprise Server instance para usar GitHub Actions, você deverá adicionar executores auto-hospedados para atualizações de Dependabot. Para obter mais informações, consulte "Primeiros passos com GitHub Actions para o GitHub Enterprise Server."

Requisitos do sistema para executores de Dependabot

Qualquer VM que você usar para executores de Dependabot deve atender aos requisitos para executores auto-hospedados. Além disso, eles têm de cumprir os seguintes requisitos.

  • Sistema operacional Linux
  • Git instalado
  • Docker instalado com acesso para os usuários do executor:
    • Recomendamos instalar o Docker no modo sem rootless e configurar os executores para acessar o Docker sem privilégios do root.
    • Como alternativa, instale o Docker e dê aos usuários do executor privilégios elevados para executar o Docker.

Os requisitos de CPU e memória dependerão do número de executores simultâneos que você implanta em uma determinada VM. Como orientação, criamos de forma bem-sucedida 20 executores em uma única máquina CPU de 8 GB, mas, em última análise, seus requisitos de CPU e memória dependerão fortemente da atualização dos repositórios. Alguns ecossistemas exigirão mais recursos do que outros.

Se você especificar mais de 14 runners simultâneos em uma VM, você também deve atualizar o a configuração do Docker /etc/docker/daemon.json para aumentar o número padrão de redes que o Docker pode criar.

{
  "default-address-pools": [
    {"base":"10.10.0.0/16","size":24}
  ]
}

Requisitos da rede para executores de Dependabot

Os executores de Dependabot exigem acesso à internet pública, GitHub.com e a todos os registros internos que serão usados nas atualizações de Dependabot. Para minimizar o risco para sua rede interna, você deve limitar o acesso da Máquina Virtual (VM) à sua rede interna. Isto reduz o potencial de danos nos sistemas internos se um executor fizer o download de uma dependência capturada.

Adicionando executores auto-hospedados para atualizações de Dependabot

  1. Provisionamento de executores auto-hospedados no nível da conta do repositório, organização ou empresa. Para obter mais informações, consulte "Sobre executores auto-hospedados" e "Adicionar executores auto-hospedados".

  2. Configure os executores auto-hospedados com os requisitos descritos acima. Por exemplo, em uma VM que executa o Ubuntu 20.04 você:

  3. Atribua uma etiqueta do debendabot para cada executor que você deseja que Dependabot use. Para obter mais informações, consulte ""Usar etiquetas com executores auto-hospedados".

  4. Opcionalmente, habilite os fluxos de trabalho acionados por Dependabot para usar permissões além das permissões somente leitura e ter acesso a todos os segredos que estão normalmente disponíveis. Para obter mais informações, consulte "Solucionar problemas de GitHub Actions para a sua empresa."

Esse documento ajudou você?

Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.