Настройка Dependabot для работы с ограниченным доступом к Интернету

Можно настроить Dependabot для создания запросов на вытягивание обновлений версии и системы безопасности с помощью частных реестров, если ваш экземпляр GitHub Enterprise Server ограничен или нет, доступ к Интернету.

В этой статье

Сведения о обновлениях Dependabot

Можно использовать Dependabot updates для устранения уязвимостей и обновления зависимостей до последней версии в ваш экземпляр GitHub Enterprise Server. Для использования Dependabot updates требуется GitHub Actions с локальными средствами выполнения, настроенными для использования Dependabot. Dependabot оповещений и обновлений системы безопасности используют сведения из доступа к данным GitHub Advisory Database с помощью GitHub Connect. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise)".

Dependabot может получить доступ к общедоступным реестрам по умолчанию, и вы можете настроить Dependabot для доступа к частным реестрам. Кроме того, если ваш экземпляр GitHub Enterprise Server ограничен или нет доступа к Интернету, можно настроить Dependabot для использования только частных реестров в качестве источника для обновлений безопасности и версий. Сведения о том, какие экосистемы поддерживаются как частные реестры, см. в разделе "Удаление доступа Dependabot к общедоступным реестрам".

В приведенных ниже инструкциях предполагается, что необходимо настроить Dependabot с указанными ниже ограничениями.

  • Нет доступа к Интернету.
  • Доступ к ограниченным внутренним ресурсам, таким как частные реестры для Dependabot.

Ограничение доступа к Интернету для пользователей Dependabot

Перед настройкой Dependabotустановите Docker на локальном средстве выполнения. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

  1. В ваш экземпляр GitHub Enterprise Serverперейдите в github/dependabot-action репозиторий и получите сведения о dependabot-updater dependabot-proxy образах контейнеров из containers.json файла.

    Каждый выпуск GitHub Enterprise Server включает обновленный containers.json файл: https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json Вы увидите версию файла GitHub.com по адресу: containers.json.

  2. Предварительно загрузите все образы контейнеров из программы GitHub Container registry в средство запуска Dependabot с помощью docker pull команды. Кроме того, предварительно загрузите образ, а затем предзагрузите dependabot-proxy только образы контейнеров для необходимых экосистем.

    Например, для поддержки npm и GitHub Actions можно использовать следующие команды, копируя сведения о изображениях для загрузки из containers.json файла, чтобы обеспечить правильную версию и SHA для каждого образа.

    docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA

    Примечание. При обновлении до новой дополнительной версии GitHub Enterprise Serverили вручную обновите действие Dependabot с GitHub.com. Дополнительные сведения см. в разделе Синхронизация действий вручную из GitHub.com.

  3. Завершив добавление этих образов в средство выполнения, вы готовы ограничить доступ к Интернету средству выполнения Dependabot и обеспечить доступ к частным реестрам для необходимых экосистем и для ваш экземпляр GitHub Enterprise Server.

    Сначала необходимо добавить изображения, так как Dependabot извлекает и извлекает dependabot-updater dependabot-proxy GitHub Container registry при запуске заданий Dependabot .

Проверка конфигурации командлетов Dependabot

  1. Для тестового репозитория настройте Dependabot для доступа к частным реестрам и удаления доступа к общедоступным реестрам. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Настройка доступа к частным реестрам для Dependabot](/code-security/dependabot/working-with-dependabot/removing-dependabot-access-to-public-registries)".
  2. На вкладке Аналитика репозитория щелкните граф зависимостей, чтобы отобразить сведения о зависимостях.
  3. Щелкните Dependabot для отображения экосистем, настроенных для обновлений версий.
  4. Для экосистем, которые требуется проверить, нажмите кнопку Last проверка ed TIME назад, чтобы отобразить представление "Журналы обновления".
  5. Нажмите кнопку "Проверить наличие обновлений" для проверка для новых обновлений зависимостей для этой экосистемы.

По завершении проверка обновлений необходимо проверка представлении "Журналы обновления", чтобы убедиться, что Dependabot обращается к настроенным частным реестрам на ваш экземпляр GitHub Enterprise Server для проверка обновлений версий.

Убедившись, что конфигурация правильна, попросите администраторов репозитория обновить конфигурации Dependabot только для использования частных реестров. Дополнительные сведения см. в разделе Удаление доступа Dependabot к общедоступным реестрам.