Сведения о обновлениях Dependabot
Можно использовать Dependabot updates для устранения уязвимостей и обновления зависимостей до последней версии в ваш экземпляр GitHub Enterprise Server. Для использования Dependabot updates требуется GitHub Actions с локальными средствами выполнения, настроенными для использования Dependabot. Dependabot оповещений и обновлений системы безопасности используют сведения из доступа к данным GitHub Advisory Database с помощью GitHub Connect. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise)".
Dependabot может получить доступ к общедоступным реестрам по умолчанию, и вы можете настроить Dependabot для доступа к частным реестрам. Кроме того, если ваш экземпляр GitHub Enterprise Server ограничен или нет доступа к Интернету, можно настроить Dependabot для использования только частных реестров в качестве источника для обновлений безопасности и версий. Сведения о том, какие экосистемы поддерживаются как частные реестры, см. в разделе "Удаление доступа Dependabot к общедоступным реестрам".
В приведенных ниже инструкциях предполагается, что необходимо настроить Dependabot с указанными ниже ограничениями.
- Нет доступа к Интернету.
- Доступ к ограниченным внутренним ресурсам, таким как частные реестры для Dependabot.
Ограничение доступа к Интернету для пользователей Dependabot
Перед настройкой Dependabotустановите Docker на локальном средстве выполнения. Дополнительные сведения см. в разделе Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии.
-
В ваш экземпляр GitHub Enterprise Serverперейдите в
github/dependabot-action
репозиторий и получите сведения оdependabot-updater
dependabot-proxy
образах контейнеров изcontainers.json
файла.Каждый выпуск GitHub Enterprise Server включает обновленный
containers.json
файл:https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json
Вы увидите версию файла GitHub.com по адресу: containers.json. -
Предварительно загрузите все образы контейнеров из программы GitHub Container registry в средство запуска Dependabot с помощью
docker pull
команды. Кроме того, предварительно загрузите образ, а затем предзагрузитеdependabot-proxy
только образы контейнеров для необходимых экосистем.Например, для поддержки npm и GitHub Actions можно использовать следующие команды, копируя сведения о изображениях для загрузки из
containers.json
файла, чтобы обеспечить правильную версию и SHA для каждого образа.docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA
Примечание. При обновлении до новой дополнительной версии GitHub Enterprise Serverили вручную обновите действие Dependabot с GitHub.com. Дополнительные сведения см. в разделе Синхронизация действий вручную из GitHub.com.
-
Завершив добавление этих образов в средство выполнения, вы готовы ограничить доступ к Интернету средству выполнения Dependabot и обеспечить доступ к частным реестрам для необходимых экосистем и для ваш экземпляр GitHub Enterprise Server.
Сначала необходимо добавить изображения, так как Dependabot извлекает и извлекает
dependabot-updater
dependabot-proxy
GitHub Container registry при запуске заданий Dependabot .
Проверка конфигурации командлетов Dependabot
- Для тестового репозитория настройте Dependabot для доступа к частным реестрам и удаления доступа к общедоступным реестрам. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Настройка доступа к частным реестрам для Dependabot](/code-security/dependabot/working-with-dependabot/removing-dependabot-access-to-public-registries)".
- На вкладке "Аналитика" репозитория щелкните граф зависимостей, чтобы отобразить сведения о зависимостях.
- Щелкните Dependabot для отображения экосистем, настроенных для обновлений версий.
- Для экосистем, которые требуется протестировать, нажмите кнопку "Последнее проверенное время назад ", чтобы отобразить представление "Обновить журналы".
- Нажмите кнопку " Проверить наличие обновлений ", чтобы проверить наличие новых обновлений для этой экосистемы.
После завершения проверки обновлений необходимо проверить представление "Журналы обновления", чтобы убедиться, что Dependabot обращается к настроенным частным реестрам на ваш экземпляр GitHub Enterprise Server для проверки обновлений версий.
Убедившись, что конфигурация правильна, попросите администраторов репозитория обновить конфигурации Dependabot только для использования частных реестров. Дополнительные сведения см. в разделе Удаление доступа Dependabot к общедоступным реестрам.