Konfigurieren von Dependabot für die Arbeit bei eingeschränktem Internetzugriff

Sie können konfigurieren Dependabot , um Pullanforderungen für Versions- und Sicherheitsupdates mithilfe privater Registrierungen zu generieren, wenn GitHub Enterprise Server der Zugriff auf das Internet eingeschränkt ist oder nicht.

In diesem Artikel

Informationen zu Dependabot Updates

Sie können verwendenDependabot updates, um Sicherheitsrisiken zu beheben und Abhängigkeiten auf der neuesten Version in aktualisiert zu halten.GitHub Enterprise Server Dependabot updates erfordert GitHub Actions , dass selbst gehostete Läufer für Dependabot die Verwendung eingerichtet sind. DependabotWarnungen und Sicherheitsupdates verwenden Informationen aus dem Zugriff mithilfe GitHub Connectvon GitHub Advisory Database . Weitere Informationen findest du unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates in Ihrem Unternehmen und Aktivieren von Dependabot für dein Unternehmen.

          Dependabot kann standardmäßig auf öffentliche Registrierungen zugreifen, und du kannst Dependabot für den Zugriff auf private Registrierungen konfigurieren. Wenn Ihre Instanz einen eingeschränkten oder keinen Internetzugriff hat, können Sie auch so konfigurieren, dass nur private Registrierungen als Quelle für Sicherheits- und Versionsupdates verwendet Dependabot werden. Informationen dazu, welche Ökosysteme als private Registrierungen unterstützt werden, finden Sie unter [AUTOTITLE](/code-security/dependabot/maintain-dependencies/removing-dependabot-access-to-public-registries#about-configuring-dependabot-to-only-access-private-registries).

In den folgenden Anweisungen wird davon ausgegangen, dass Sie Läufer mit den folgenden Einschränkungen einrichten Dependabot müssen.

  • Kein Internetzugriff
  • Zugriff auf begrenzte interne Ressourcen, z. B. private Register für Dependabot.

Einschränken des Internetzugriffs für Dependabot Läufer

Installieren Sie vor der Konfiguration DependabotDocker auf Ihrem selbst gehosteten Runner. Weitere Informationen finden Sie unter Verwalten von selbstgehosteten Runnern für Dependabot-Updates in Ihrem Unternehmen.

  1. Navigieren Sie auf GitHub Enterprise Server, navigieren Sie zum github/dependabot-action Repository, und rufen Sie Informationen zu den dependabot-updater Und dependabot-proxy Containerimages aus der containers.json Datei ab.

    Jede Version von GitHub Enterprise Server enthält eine aktualisierte containers.json Datei unter: https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json. Sie können die GitHub.com Version der Datei unter: containers.jsonsehen.

  2. Laden Sie alle Containerimages über den Befehl auf GitHubContainer registry den Dependabot Läufer vor.docker pull Alternativ können Sie das dependabot-proxy Image vorab laden und dann nur die Containerimages für die benötigten Ökosysteme vorab laden.

    Um z. B. npm zu unterstützen, und GitHub Actions Sie können die folgenden Befehle verwenden, indem Sie Details der Bilder kopieren, die aus der containers.json Datei geladen werden sollen, um sicherzustellen, dass Sie über die richtige Version und SHA für jedes Bild verfügen.

    docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA

    Hinweis

    Sie müssen diesen Schritt wiederholen, wenn Sie ein Upgrade auf eine neue Nebenversion von GitHub Enterprise Server, oder wenn Sie die Dependabot Aktion GitHub.commanuell aktualisieren. Weitere Informationen finden Sie unter Manuelles Synchronisieren von Aktionen aus GitHub.com.

  3. Wenn Sie diese Bilder dem Läufer hinzugefügt haben, können Sie den Internetzugriff auf den Dependabot Läufer einschränken und sicherstellen, dass es weiterhin auf Ihre privaten Register für die erforderlichen Ökosysteme und für GitHub Enterprise Server.

    Sie müssen zuerst die Bilder hinzufügen, da Dependabot Läufer die Ausführung von Aufträgen abrufen dependabot-updater und dependabot-proxy aus dem GitHubContainer registry Zeitpunkt Dependabot der Ausführung von Aufträgen entfernen.

Überprüfen der Konfiguration von Dependabot Läufern

  1. Konfigurieren Sie Dependabot für ein Test-Repository den Zugriff auf private Register und entfernen Sie den Zugriff auf öffentliche Register. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot und Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.

  2. Klicke auf der Registerkarte Erkenntnisse für das Repository auf Abhängigkeitsdiagramm, um Details zu den Abhängigkeiten anzuzeigen.

  3. Klicken Sie hier Dependabot , um die Ökosysteme anzuzeigen, die für Versionsupdates konfiguriert sind.

  4. Klicke für Ökosysteme, die du testen möchtest, auf Zuletzt überprüfte UHRZEIT vor, um die Ansicht „Protokolle aktualisieren“ anzuzeigen.

  5. Klicke auf Nach Updates suchen, um nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.

Wenn die Überprüfung auf Updates abgeschlossen ist, sollten Sie die Ansicht "Updateprotokolle" überprüfen, um zu überprüfen, ob Dependabot auf die konfigurierten privaten Registrierungen in Ihrer Instanz zugegriffen wird, um nach Versionsupdates zu suchen.

Nachdem Sie überprüft haben, ob die Konfiguration korrekt ist, bitten Sie Repositoryadministratoren, ihre Dependabot Konfigurationen nur für die Verwendung privater Registrierungen zu aktualisieren. Weitere Informationen finden Sie unter Entfernen des Dependabot-Zugriffs auf öffentliche Registrierungen.