À propos de Dependabot sur des exécuteurs GitHub Actions
Important
Si Dependabot est activé pour un dépôt, il s’exécutera toujours sur GitHub Actions, en contournant à la fois les vérifications de stratégie Actions et la désactivation au niveau du dépôt ou de l’organisation. Cela garantit que les workflows de mises à jour de sécurité et de versions s’exécutent toujours lorsque Dependabot est activé.
L’utilisation des exécuteurs GitHub Actions vous permet d’identifier plus facilement les erreurs de travail Dependabot et de détecter et résoudre manuellement les échecs d’exécution. Vous pouvez également intégrer Dependabot dans vos pipelines CI/CD à l’aide des API et des webhooks GitHub Actions pour détecter l’état du travail Dependabot comme les exécutions ayant échoué et effectuer le traitement en aval. Pour plus d’informations, consultez « Points de terminaison d’API REST pour GitHub Actions » et « Événements et charges utiles du webhook ».
Les nouveaux référentiels que vous créez dans votre compte d’utilisateur ou dans votre organisation seront automatiquement configurés pour exécuter Dependabot sur GitHub Actions à l’aide d'exécuteurs hébergés par GitHub standard si l’un des éléments suivants est vrai :
- Dependabot est installé et activé, et GitHub Actions est activé et utilisé.
- Le paramètre « Dependabot sur les exécuteurs GitHub Actions » pour votre organisation est activé.
Les futures versions de GitHub supprimeront la possibilité de désactiver l'exécution de Dependabot sur GitHub Actions.
Remarque
L’activation de Dependabot sur GitHub Actions peut augmenter le nombre de travaux simultanés exécutés dans votre compte. Si nécessaire, les clients des plans d’entreprise peuvent demander une limite plus élevée pour les travaux simultanés. Pour plus d’informations, contactez-nous via le Portail de support GitHub ou votre représentant commercial.
Options de l’exécuteur
Vous pouvez exécuter Dependabot sur GitHub Actions avec :
*
Exécuteurs hébergés par GitHub standard. Il s’agit des runners par défaut utilisés par GitHub pour exécuter des travaux GitHub Actions.
*
Exécuteurs plus grands. Il s'agit d'exécuteurs hébergés par GitHub avec des fonctionnalités avancées telles que plus de RAM, de processeur, et d'espace disque. Pour plus d’informations, consultez « Utilisation des exécuteurs plus grands ».
*
Exécuteurs auto-hébergés. Ces exécuteurs vous permettent de mieux contrôler l'accès de Dependabot à vos registres privés et aux ressources réseau internes. N’oubliez pas que pour des raisons de sécurité, Dependabot updates sur les exécuteurs auto-hébergés ne s’exécuteront pas sur les référentiels publics. Pour plus d’informations sur l’affectation d’une étiquette dependabot sur les exécuteurs auto-hébergés, consultez Configuration de Dependabot sur des exécuteurs auto-hébergés.
L’exécution de Dependabot sur des exécuteurs hébergés par GitHub standard ou auto-hébergés ne compte pas dans le calcul de vos minutes GitHub Actions comprises. Pour Dependabot sur les exécuteurs plus grands, GitHub facturera votre organisation au tarif standard. Consultez Tarification des runners Actions.
Remarque
La mise en réseau privée est prise en charge avec un réseau virtuel Azure (VNET) ou l'Actions Runner Controller (ARC) pour Dependabot sur GitHub Actions. Consultez Configurer Dependabot pour qu'il s'exécute sur des exécuteurs d'actions auto-hébergés à l'aide du contrôleur d'exécuteurs d'actions et Configuration de Dependabot pour qu’il s’exécute sur des exécuteurs d’actions hébergés par GitHub à l’aide du réseau privé Azure.
Interactions des paramètres de l'exécuteur
Dependabot sur les exécuteurs GitHub Actions et Dependabot sur les paramètres des exécuteurs auto-hébergés sont interdépendants :
- L’activation de « Dependabot sur les exécuteurs auto-hébergés » active automatiquement « Dependabot sur les exécuteurs GitHub Actions ». La désactivation de « Dependabot sur les exécuteurs GitHub Actions » désactive automatiquement « Dependabot sur les exécuteurs auto-hébergés ».
- Lorsque les deux paramètres sont activés, les travaux Dependabot s’exécutent uniquement sur les exécuteurs auto-hébergés ou sur les exécuteurs plus grands portant l'étiquette
dependabot, mais pas sur les exécuteurs standard hébergés par GitHub standard.
Avertissement
Si les deux paramètres sont activés, mais qu’aucun exécuteur auto-hébergé ou exécuteurs plus grands avec une étiquette dependabot n’est disponible, les travaux Dependabot resteront en attente indéfiniment. Vérifiez que les exécuteurs avec cette étiquette sont configurés avant d’activer « Dependabot sur les exécuteurs auto-hébergés ».
Accès et autorisations
Si vous passez à l'utilisation de Dependabot sur des exécuteurs GitHub Actions et que vous restreignez l'accès aux ressources privées de votre organisation ou de votre référentiel, vous devrez peut-être mettre à jour votre liste d'adresses IP autorisées. Par exemple, si vous limitez actuellement l’accès à vos ressources privées aux adresses IP utilisées par Dependabot, vous devez mettre à jour votre liste d'autorisations pour utiliser les adresses IP des exécuteurs hébergés par GitHub provenant du point de terminaison d'API méta. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les métadonnées ».
Lorsque vous appliquez une stratégie pour autoriser les actions et les flux de travail réutilisables uniquement dans votre entreprise, et que vous activez Dependabot sur GitHub Actions, Dependabot ne s’exécute pas. Pour activer Dependabot pour s’exécuter avec vos actions d’entreprise et les flux de travail réutilisables, vous devez choisir d’autoriser les actions créées par GitHub, ou d’autoriser les actions spécifiées et les flux de travail réutilisables. Pour plus d’informations, consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».
Étapes suivantes
Pour activer Dependabot sur les exécuteurs GitHub Actions, consultez Configuration de Dependabot sur des exécuteurs hébergés par GitHub et Configuration de Dependabot sur des exécuteurs auto-hébergés.