Configurando o Dependabot para trabalhar com acesso limitado à Internet

Você pode configurar Dependabot para gerar solicitações de pull para atualizações de versão e segurança usando registros privados quando GitHub Enterprise Server tiver acesso limitado ou não à Internet.

Neste artigo

Sobre Dependabot atualizações

Você pode usar Dependabot updates para corrigir vulnerabilidades e manter as dependências atualizadas para a versão mais recente.GitHub Enterprise Server Dependabot updates exige GitHub Actions com os executores auto-hospedados configurados para Dependabot uso. Dependabot alertas e atualizações de segurança usam informações dos GitHub Advisory Database acessados usando GitHub Connect. Para saber mais, confira Gerenciar executores auto-hospedados para atualizações de Dependabot na sua empresa e Habilitando o Dependabot para sua empresa.

          O Dependabot pode acessar registros públicos por padrão e você pode configurar o Dependabot para também acessar registros privados. Como alternativa, se sua instância tiver acesso limitado ou sem acesso à Internet, você poderá configurar Dependabot para usar apenas registros privados como fonte para atualizações de segurança e de versão. Para obter informações sobre quais ecossistemas são suportados como registros privados, consulte [AUTOTITLE](/code-security/dependabot/maintain-dependencies/removing-dependabot-access-to-public-registries#about-configuring-dependabot-to-only-access-private-registries).

As instruções a seguir pressupõem que você precisa configurar Dependabot os executores com as seguintes limitações.

  • Sem acesso à internet.
  • Acesso a recursos internos limitados, como registros privados para Dependabot.

Restringindo o acesso à Internet para Dependabot executores

Antes de Dependabotconfigurar, instale o Docker em seu executor auto-hospedado. Para saber mais, confira Gerenciar executores auto-hospedados para atualizações de Dependabot na sua empresa.

  1. Em GitHub Enterprise Serverseguida, navegue até o github/dependabot-action repositório e recupere informações sobre as imagens e dependabot-proxy o dependabot-updater contêiner do containers.json arquivo.

    Cada versão inclui GitHub Enterprise Server um arquivo atualizado containers.json em: https://HOSTNAME/github/dependabot-action/blob/ghes-VERSION/docker/containers.json. Você pode ver a GitHub.com versão do arquivo em: containers.json.

  2. Pré-carregar todas as imagens de contêiner do GitHubContainer registry executor Dependabot usando o docker pull comando. Como alternativa, pré-carregar a dependabot-proxy imagem e, em seguida, pré-carregar apenas as imagens de contêiner para os ecossistemas necessários.

    Por exemplo, para dar suporte ao npm e GitHub Actions você pode usar os comandos a seguir, copiando detalhes das imagens a serem carregadas do containers.json arquivo para garantir que você tenha a versão correta e SHA para cada imagem.

    docker pull ghcr.io/github/dependabot-update-job-proxy/dependabot-update-job-proxy:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-github-actions:VERSION@SHA
docker pull ghcr.io/dependabot/dependabot-updater-npm:VERSION@SHA

    Observação

    Você precisará repetir esta etapa ao atualizar para uma nova versão secundária ou GitHub Enterprise Serverse atualizar manualmente a ação Dependabot de GitHub.com. Para saber mais, confira Sincronizar ações manualmente de GitHub.com.

  3. Quando terminar de adicionar essas imagens ao executor, você estará pronto para restringir o Dependabot acesso à Internet ao executor, garantindo que ele ainda possa acessar seus registros privados para os ecossistemas necessários e para GitHub Enterprise Server.

    Você deve adicionar as imagens primeiro porque Dependabot os executores efetuam dependabot-updater pull e dependabot-proxy do momento Dependabot em que os GitHubContainer registry trabalhos começam a ser executados.

Verificando a configuração de Dependabot executores

  1. Para um repositório de teste, configure Dependabot para acessar registros privados e remover o acesso a registros públicos. Para saber mais, confira Configurando o acesso a registros privados para Dependabot e Removendo o acesso do Dependabot a registros públicos.

  2. Na guia Insights do repositório, clique em Grafo de dependência para exibir detalhes das dependências.

  3. Clique Dependabot para exibir os ecossistemas configurados para atualizações de versão.

  4. Para ecossistemas que você deseja testar, clique em Hora da Última verificação TIME atrás para mostrar "Atualizar logs".

  5. Clique em Verificar se há atualizações para marcar novas atualizações para dependências desse ecossistema.

Quando a verificação de atualizações for concluída, você deverá verificar a exibição "Atualizar logs" para verificar se Dependabot acessou os registros privados configurados em sua instância para verificar se há atualizações de versão.

Depois de verificar se a configuração está correta, peça aos administradores do repositório que atualizem suas Dependabot configurações apenas para usar registros privados. Para saber mais, confira Removendo o acesso do Dependabot a registros públicos.