Эта версия GitHub Enterprise Server была прекращена 2024-07-09. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Настройка Dependabot для работы с ограниченным доступом к Интернету

Можно настроить Dependabot для создания запросов на вытягивание обновлений версии и системы безопасности с помощью частных реестров, если ваш экземпляр GitHub Enterprise Server ограничен или нет, доступ к Интернету.

В этой статье

Сведения о обновлениях Dependabot

Можно использовать Dependabot updates для устранения уязвимостей и обновления зависимостей до последней версии в ваш экземпляр GitHub Enterprise Server. Для использования Dependabot updates требуется GitHub Actions с локальными средствами выполнения, настроенными для использования Dependabot. Dependabot оповещений и обновлений системы безопасности используют сведения из доступа к данным GitHub Advisory Database с помощью GitHub Connect. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise)".

Dependabot может получить доступ к общедоступным реестрам по умолчанию, и вы можете настроить Dependabot для доступа к частным реестрам. Кроме того, если ваш экземпляр GitHub Enterprise Server ограничен или нет доступа к Интернету, можно настроить Dependabot для использования только частных реестров в качестве источника для обновлений безопасности и версий. Сведения о том, какие экосистемы поддерживаются как частные реестры, см. в разделе "Удаление доступа Dependabot к общедоступным реестрам".

В приведенных ниже инструкциях предполагается, что необходимо настроить Dependabot с указанными ниже ограничениями.

  • Нет доступа к Интернету.
  • Доступ к ограниченным внутренним ресурсам, таким как частные реестры для Dependabot.

Ограничение доступа к Интернету для пользователей Dependabot

Перед настройкой Dependabotустановите Docker на локальном средстве выполнения. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.

  1. В ваш экземпляр GitHub Enterprise Serverперейдите в github/dependabot-action репозиторий и получите сведения о dependabot-updater dependabot-proxy образах контейнеров из containers.json файла.

    Каждый выпуск GitHub Enterprise Server включает обновленный containers.json файл: https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json Вы увидите версию файла GitHub.com по адресу: containers.json.

  2. Предварительно загрузите все образы контейнеров из программы GitHub Container registry в средство запуска Dependabot с помощью docker pull команды. Кроме того, предварительно загрузите образ, а затем предзагрузите dependabot-proxy только образы контейнеров для необходимых экосистем.

    Например, для поддержки npm и GitHub Actions можно использовать следующие команды, копируя сведения о изображениях для загрузки из containers.json файла, чтобы обеспечить правильную версию и SHA для каждого образа.

    docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA

    Примечание. При обновлении до новой дополнительной версии GitHub Enterprise Serverили вручную обновите действие Dependabot с GitHub.com. Дополнительные сведения см. в разделе Синхронизация действий вручную из GitHub.com.

  3. Завершив добавление этих образов в средство выполнения, вы готовы ограничить доступ к Интернету средству выполнения Dependabot и обеспечить доступ к частным реестрам для необходимых экосистем и для ваш экземпляр GitHub Enterprise Server.

    Сначала необходимо добавить изображения, так как Dependabot извлекает и извлекает dependabot-updater dependabot-proxy GitHub Container registry при запуске заданий Dependabot .

Проверка конфигурации командлетов Dependabot

  1. Для тестового репозитория настройте Dependabot для доступа к частным реестрам и удаления доступа к общедоступным реестрам. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Настройка доступа к частным реестрам для Dependabot](/code-security/dependabot/working-with-dependabot/removing-dependabot-access-to-public-registries)".
  2. На вкладке "Аналитика" репозитория щелкните граф зависимостей, чтобы отобразить сведения о зависимостях.
  3. Щелкните Dependabot для отображения экосистем, настроенных для обновлений версий.
  4. Для экосистем, которые требуется протестировать, нажмите кнопку "Последнее проверенное время назад ", чтобы отобразить представление "Обновить журналы".
  5. Нажмите кнопку " Проверить наличие обновлений ", чтобы проверить наличие новых обновлений для этой экосистемы.

После завершения проверки обновлений необходимо проверить представление "Журналы обновления", чтобы убедиться, что Dependabot обращается к настроенным частным реестрам на ваш экземпляр GitHub Enterprise Server для проверки обновлений версий.

Убедившись, что конфигурация правильна, попросите администраторов репозитория обновить конфигурации Dependabot только для использования частных реестров. Дополнительные сведения см. в разделе Удаление доступа Dependabot к общедоступным реестрам.