关于 Dependabot updates 的自托管运行器
可以通过设置 Dependabot 安全性和版本更新来帮助 你的 GitHub Enterprise Server 实例 的用户创建和维护安全代码。 借助 Dependabot updates,开发人员可以配置存储库,以便其依赖项自动更新并保持安全性。 有关详细信息,请参阅“为企业启用 Dependabot”。
要在 你的 GitHub Enterprise Server 实例 上使用 Dependabot updates,必须配置自托管运行器来创建将更新依赖项的拉取请求。
先决条件
配置自托管运行器只是启用 Dependabot updates 过程中的一个步骤。 在这些步骤之前必须先执行几个步骤,包括配置 你的 GitHub Enterprise Server 实例 以将 GitHub Actions 与自托管运行器配合使用。 有关详细信息,请参阅“为企业启用 Dependabot”。
为 Dependabot updates 配置自托管运行器
Dependabot 运行器的系统要求
用于 Dependabot 运行器的任何虚拟机 (VM) 都必须满足自托管运行器的要求。 此外,它们还必须满足以下要求。
-
Linux 操作系统
-
x64 体系结构
-
安装有运行器用户访问权限的 Docker:
- 建议在无根模式下安装 Docker,并将运行器配置为在没有
root
特权的情况下访问 Docker。 - 或者,安装 Docker 并授予运行器用户提升的权限来运行 Docker。
- 建议在无根模式下安装 Docker,并将运行器配置为在没有
CPU 和内存要求将取决于在给定 VM 上部署的并发运行器的数量。 作为指导,我们已在一台 2 CPU 8GB 的计算机上成功设置了 20 个运行器,但最终,CPU 和内存要求将在很大程度上取决于正在更新的存储库。 某些生态系统需要比其他生态系统更多的资源。
如果在 VM 上指定了 14 个以上的并发运行器,则还必须更新 Docker /etc/docker/daemon.json
配置,以增加 Docker 可以创建的默认网络数。
{
"default-address-pools": [
{"base":"10.10.0.0/16","size":24}
]
}
Dependabot 运行器的网络要求
Dependabot 运行器需要访问公共互联网、GitHub.com 以及将在 Dependabot updates 更新中使用的任何内部注册表。 为了最大程度地降低内部网络的风险,应该限制虚拟机 (VM) 对内部网络的访问。 如果运行器下载了一个被劫持的依赖项,这将减少内部系统损坏的可能性。
Dependabot 运行器的证书配置
如果 GitHub Enterprise Server 实例使用自签名证书,或者 Dependabot 需要与使用自签名证书的注册表进行交互,则还必须在运行 Dependabot 作业的自承载运行器上安装这些证书。 这一安全措施强化了连接。 还必须配置 Node.js 以使用证书,因为大多数操作都是用 JavaScript 编写并使用 Node.js 运行,而 Node.js 不使用操作系统证书存储。
为 Dependabot 添加自托管运行器
-
按照上述要求设置自托管运行器。 例如,在运行 Ubuntu 20.04 的 VM 上,你可以:
- 安装 Docker 并确保运行器用户有权访问 Docker。 有关详细信息,请参阅 Docker 文档。
- 验证运行器是否有权访问公共互联网,并且只能访问 Dependabot 所需的内部网络。
- 为 GitHub Enterprise Server 实例或 Dependabot 需要与之交互的注册表安装任何自签名证书。
- 将 Node.js 配置为使用相同的证书。 有关详细信息,请参阅“企业 GitHub Actions 故障排除”。
-
将
dependabot
标签分配给希望 Dependabot 使用的每个运行器。 有关详细信息,请参阅“将标签与自托管运行程序结合使用”。 -
(可选)允许 Dependabot 触发的工作流使用只读权限以外的权限,并有权访问通常可用的任何机密。 有关详细信息,请参阅“企业 GitHub Actions 故障排除”。