Skip to main content

Управление локальными средствами выполнения для обновлений Dependabot в вашем предприятии

Вы можете создать выделенные средства выполнения для ваш экземпляр GitHub Enterprise Server, которые Dependabot используются для создания запросов на вытягивание для защиты и поддержания зависимостей, используемых в репозиториях в вашей организации.

Сведения о локальных средствах выполнения для Dependabot updates

Вы можете помочь пользователям ваш экземпляр GitHub Enterprise Server создавать и поддерживать безопасный код, настроив Dependabot обновления безопасности и версий. С помощью Dependabot updatesразработчики могут настроить репозитории таким образом, чтобы обновление и поддержание безопасности их зависимостей выполнялось автоматически. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

Чтобы использовать Dependabot updates для ваш экземпляр GitHub Enterprise Server, необходимо настроить локальные средства выполнения для создания запросов на вытягивание, которые будут обновлять зависимости.

Необходимые компоненты

Настройка локальных модулей выполнения — это только один шаг в середине процесса для включения Dependabot updates. Перед выполнением этих действий необходимо выполнить несколько шагов, включая настройку ваш экземпляр GitHub Enterprise Server для использования GitHub Actions с локальными средствами выполнения. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

Настройка локальных средств выполнения для Dependabot updates

Требования к системе для средств выполнения Dependabot

Все виртуальные машины, используемые для Dependabot runners, должны соответствовать требованиям для локальных средств выполнения. Кроме того, они должны соответствовать следующим требованиям.

  • Операционная система Linux

  • Архитектура x64

  • Docker, установленный с доступом для пользователей средства выполнения:

    • Рекомендуется установить Docker в режиме без корня и настроить средства выполнения для доступа к Docker без привилегий root.
    • Вы также можете установить Docker и предоставить пользователям средств выполнения повышенные привилегии для запуска Docker.

Требования к ЦП и памяти зависят от количества параллельных средств выполнения, развернутых на конкретной виртуальной машине. Для справки — нам удалось успешно настроить 20 средств выполнения на одной виртуальной машине с двумя ЦП и 8 ГБ, но в конечном счете требования к ЦП и памяти будут сильно зависеть от обновляемых репозиториев. Для одних экосистем потребуется больше ресурсов, чем для других.

Если вы указываете более 14 параллельных средств выполнения на виртуальной машине, необходимо также обновить конфигурацию Docker /etc/docker/daemon.json, чтобы увеличить число сетей по умолчанию, которое может создавать Docker.

{
  "default-address-pools": [
    {"base":"10.10.0.0/16","size":24}
  ]
}

Требования к сети для средств выполнения Dependabot

Для запуска Dependabot требуется доступ к общедоступному Интернету, GitHub.com, а также все внутренние реестры, которые будут использоваться в Dependabot updates. Чтобы свести к минимуму риск для внутренней сети, следует ограничить доступ с виртуальной машины во внутреннюю сеть. Это снижает вероятность повреждения внутренних систем, если средство выполнения загрузит взломанную зависимость.

Конфигурация сертификата для запуска Dependabot

Если в экземпляре GitHub Enterprise Server используется самозаверяющий сертификат или если Dependabot необходимо взаимодействовать с реестрами, использующими самозаверяющие сертификаты, эти сертификаты также должны быть установлены на локальных запусках, выполняющих задания Dependabot. Эта безопасность затвердевает подключение. Кроме того, необходимо настроить Node.js для использования сертификата, так как большинство действий записываются в JavaScript и выполняются с помощью Node.js, которая не использует хранилище сертификатов операционной системы.

Добавление локальных средств выполнения для обновлений Dependabot

  1. Подготовьте локальные средства выполнения на уровне учетной записи репозитория, организации или предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и О самостоятельно размещенных средствах выполнения](/actions/hosting-your-own-runners/managing-self-hosted-runners/adding-self-hosted-runners).

  2. Настройте локальные средства выполнения в соответствии с указанными выше требованиями. Например, на виртуальной машине под управлением Ubuntu 20.04 вам нужно выполнить следующее.

  3. Назначьте метку dependabot каждому средству выполнения, которое должен использовать Dependabot. Дополнительные сведения см. в разделе Использование меток с самостоятельно размещенными средствами выполнения.

  4. При необходимости включите рабочие процессы, активируемые Dependabot, чтобы использовать не только разрешения для чтения и иметь доступ к любым секретам, которые обычно доступны. Дополнительные сведения см. в разделе Устранение неполадок GitHub Actions для предприятия.