Configuration de Dependabot pour fonctionner avec un accès Internet limité

Vous pouvez configurer Dependabot pour générer des demandes de tirage (pull request) pour les mises à jour de version et de sécurité à l’aide de registres privés lorsque GitHub Enterprise Server l’accès Internet est limité ou non.

Dans cet article

À propos des Dependabot mises à jour

Vous pouvez utiliser Dependabot updates pour corriger les vulnérabilités et conserver les dépendances mises à jour vers la dernière version dans GitHub Enterprise Server. Dependabot updates exiger GitHub Actions que les exécuteurs auto-hébergés soient configurés pour Dependabot une utilisation. Dependabot les alertes et les mises à jour de sécurité utilisent des informations à partir de l’utilisation GitHub Advisory DatabaseGitHub Connectconsultée. Pour plus d’informations, consultez « Gestion des exécuteurs auto-hébergés pour les mises à jour Dependabot dans votre entreprise » et « Activation de Dependabot pour votre entreprise ».

          Dependabot peut accéder aux registres publics par défaut, et vous pouvez configurer Dependabot pour accéder également aux registres privés. Sinon, si votre instance n’a pas d’accès Internet limité ou non, vous pouvez configurer Dependabot pour utiliser uniquement des registres privés comme source pour les mises à jour de sécurité et de version. Pour plus d’informations sur les écosystèmes pris en charge en tant que registres privés, consultez [AUTOTITLE](/code-security/dependabot/maintain-dependencies/removing-dependabot-access-to-public-registries#about-configuring-dependabot-to-only-access-private-registries).

Les instructions ci-dessous supposent que vous devez configurer Dependabot les exécuteurs avec les limitations suivantes.

  • Aucun accès Internet.
  • Accès à des ressources internes limitées, telles que des registres privés pour Dependabot.

Restriction de l’accès Internet pour Dependabot les exécuteurs

Avant de configurer Dependabot, installez Docker sur votre exécuteur auto-hébergé. Pour plus d’informations, consultez « Gestion des exécuteurs auto-hébergés pour les mises à jour Dependabot dans votre entreprise ».

  1. Sur GitHub Enterprise Server, accédez au github/dependabot-action référentiel et récupérez des informations sur les images conteneur et dependabot-proxy les dependabot-updater images du containers.json fichier.

    Chaque version d’inclut GitHub Enterprise Server un fichier mis à jour à containers.json l’adresse : https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json. Vous pouvez voir la GitHub.com version du fichier à l’adresse :containers.json.

  2. Préchargez toutes les images conteneur de l’exécuteur GitHub Container registryà l’aide Dependabot de la docker pull commande. Vous pouvez également précharger l’image dependabot-proxy , puis précharger uniquement les images conteneur pour les écosystèmes dont vous avez besoin.

    Par exemple, pour prendre en charge npm et GitHub Actions vous pouvez utiliser les commandes suivantes, en copiant les détails des images à charger à partir du containers.json fichier pour vous assurer que vous disposez de la version correcte et de la sha pour chaque image.

    docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA

    Remarque

    Vous devez répéter cette étape lorsque vous effectuez une mise à niveau vers une nouvelle version mineure de GitHub Enterprise Server, ou si vous mettez à jour manuellement l’action Dependabot à partir de GitHub.com. Pour plus d’informations, consultez « Synchronisation manuelle des actions à partir de GitHub.com ».

  3. Lorsque vous avez fini d’ajouter ces images à l’exécuteur, vous êtes prêt à restreindre l’accès Internet à l’exécuteur Dependabot , en vous assurant qu’il peut toujours accéder à vos registres privés pour les écosystèmes requis et pour GitHub Enterprise Server.

    Vous devez d’abord ajouter les images, car Dependabot les exécuteurs extrayent dependabot-updater et dependabot-proxy à partir du GitHubContainer registry moment où Dependabot les travaux commencent à s’exécuter.

Vérification de la configuration des Dependabot exécuteurs

  1. Pour un référentiel de test, configurez Dependabot pour accéder aux registres privés et supprimez l’accès aux registres publics. Pour plus d’informations, consultez « Configuration de l’accès aux registres privés pour Dependabot » et « Suppression de l’accès Dependabot aux registres publics ».

  2. Sous l’onglet Insights du dépôt, cliquez sur Graphe des dépendances pour afficher les détails des dépendances.

  3. Cliquez Dependabot pour afficher les écosystèmes configurés pour les mises à jour de version.

  4. Pour les écosystèmes que vous souhaitez tester, cliquez sur Dernière recherche il y a HEURE pour afficher la vue « Journaux de mise à jour ».

  5. Cliquez sur Rechercher les mises à jour pour vérifier s’il y a de nouvelles mises à jour des dépendances pour cet écosystème.

Une fois la vérification des mises à jour terminées, vous devez vérifier l’affichage « Journaux de mise à jour » pour vérifier que Dependabot les registres privés configurés sur votre instance doivent vérifier les mises à jour de version.

Une fois que vous avez vérifié que la configuration est correcte, demandez aux administrateurs de référentiel de mettre à jour leurs Dependabot configurations pour utiliser uniquement des registres privés. Pour plus d’informations, consultez « Suppression de l’accès Dependabot aux registres publics ».