Sobre atualizações do Dependabot
Você pode usar Dependabot updates para corrigir vulnerabilidades e manter as dependências atualizadas para a versão mais recente no sua instância do GitHub Enterprise Server. Dependabot updates exigem GitHub Actions com executores auto-hospedados configurados para uso de Dependabot. Os alertas do Dependabot e as atualizações de segurança usam informações do GitHub Advisory Database acessados usando GitHub Connect. Para obter mais informações, confira "Gerenciar executores auto-hospedados para atualizações de Dependabot na sua empresa" e "Habilitando o Dependabot para sua empresa."
O Dependabot pode acessar registros públicos por padrão e você pode configurar o Dependabot para também acessar registros privados. Como alternativa, se sua instância do GitHub Enterprise Server tiver acesso limitado ou sem acesso à Internet, você poderá configurar Dependabot para usar apenas registros privados como fonte para atualizações de segurança e versão. Para obter informações sobre quais ecossistemas têm suporte como registros privados, confira "Removendo o acesso do Dependabot a registros públicos."
As instruções a seguir pressupõem que você precisa configurar executores de Dependabot com as limitações a seguir.
- Sem acesso à internet.
- Acesso a recursos internos limitados, como registros privados para Dependabot.
Restringindo o acesso à Internet para executores de Dependabot
Antes de configurar o Dependabot, instale o Docker em seu executor auto-hospedado. Para obter mais informações, confira "Gerenciar executores auto-hospedados para atualizações de Dependabot na sua empresa".
-
Em sua instância do GitHub Enterprise Server, navegue até o
github/dependabot-action
repositório e recupere informações sobre as imagens de contêinerdependabot-updater
edependabot-proxy
do arquivocontainers.json
.Cada versão do GitHub Enterprise Server inclui um arquivo atualizado
containers.json
em:https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json
. Você pode conferir a versão de GitHub.com do arquivo em: containers.json. -
Pré-carregar todas as imagens de contêiner do GitHub Container registry no executor do Dependabot usando o comando
docker pull
. Como alternativa, pré-carregue a imagemdependabot-proxy
e pré-carregue apenas as imagens de contêiner para os ecossistemas necessários.Por exemplo, para dar suporte a npm e GitHub Actions você pode usar os comandos a seguir, copiando detalhes das imagens a serem carregadas do arquivo
containers.json
para garantir que você tenha a versão correta e SHA para cada imagem.docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA
Nota: Você precisará repetir esta etapa ao atualizar para uma nova versão secundária do GitHub Enterprise Server ou se atualizar manualmente a ação Dependabot do GitHub.com. Para obter mais informações, confira "Sincronizar ações do GitHub.com manualmente".
-
Quando terminar de adicionar essas imagens ao executor, você estará pronto para restringir o acesso à Internet ao executor do Dependabot, garantindo que ele ainda possa acessar seus registros privados para os ecossistemas necessários e para sua instância do GitHub Enterprise Server.
Você deve adicionar as imagens primeiro porque os executores do Dependabot efetuam pull
dependabot-updater
edependabot-proxy
do GitHub Container registry quando os trabalhos do Dependabot começam a ser executados.
Verificando a configuração de executores de Dependabot
- Para um repositório de teste, configure Dependabot para acessar registros privados e remover o acesso a registros públicos. Para obter mais informações, confira "Configurando o acesso a registros privados para Dependabot" e "Removendo o acesso do Dependabot a registros públicos."
- Na guia Insights do repositório, clique em Grafo de dependência para exibir detalhes das dependências.
- Clique em Dependabot para exibir os ecossistemas configurados para atualizações de versão.
- Para ecossistemas que você deseja testar, clique em Hora da Última verificação TIME atrás para mostrar "Atualizar logs".
- Clique em Verificar se há atualizações para marcar novas atualizações para dependências desse ecossistema.
Quando o marcar de atualizações for concluído, você deverá marcar exibição "Atualizar logs" para verificar se o Dependabot acessou os registros privados configurados no sua instância do GitHub Enterprise Server para marcar para atualizações de versão.
Depois de verificar se a configuração está correta, peça aos administradores do repositório que atualizem suas configurações de Dependabot para usar apenas registros privados. Para obter mais informações, confira "Removendo o acesso do Dependabot a registros públicos".