Über selbst gehostete Läufer für Dependabot updates
Sie können Benutzern Ihre GitHub Enterprise Server-Instance helfen, sicheren Code zu erstellen und zu verwalten, indem Sie Sicherheits- und Versionsupdates einrichten Dependabot . Mit Dependabot updates, Entwickler können Repositorys so konfigurieren, dass ihre Abhängigkeiten aktualisiert und automatisch sicher gehalten werden. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.
Um dies zu verwenden Dependabot updatesIhre GitHub Enterprise Server-Instance, müssen Sie selbst gehostete Läufer konfigurieren, um die Pullanforderungen zu erstellen, die Abhängigkeiten aktualisieren.
Voraussetzungen
Das Konfigurieren von selbst gehosteten Läufern ist nur ein Schritt in der Mitte des Prozesses für die Aktivierung Dependabot updates. Es gibt mehrere Schritte, die Sie vor diesen Schritten ausführen müssen, einschließlich der Konfiguration Ihre GitHub Enterprise Server-Instance für die Verwendung GitHub Actions mit selbst gehosteten Läufern. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.
Konfigurieren von selbst gehosteten Läufern für Dependabot updates
Systemanforderungen für Dependabot Läufer
Jede virtuelle Maschine (VM), die du für Dependabot-Runner verwendest, muss die Anforderungen für selbst gehostete Runner erfüllen. Sie muss außerdem die folgenden Anforderungen erfüllen.
-
Linux-Betriebssystem
-
x64-Architektur
-
Docker ist mit Zugriff für die Runner-Benutzer installiert:
- Du solltest Docker im Rootless-Modus installieren und die Runner für den Zugriff auf Docker ohne
root-Berechtigungen konfigurieren. - Installiere alternativ Docker, und gib den Runner-Benutzern Berechtigungen zum Ausführen von Docker.
- Du solltest Docker im Rootless-Modus installieren und die Runner für den Zugriff auf Docker ohne
Die CPU- und Speicheranforderungen hängen von der Anzahl der gleichzeitigen Runner ab, die du auf einer bestimmten VM bereitstellst. Als Anhaltspunkt: Wir haben erfolgreich 20 Runner auf einem einzelnen Computer mit 2 CPUs und 8 GB eingerichtet. Letztendlich hängen deine CPU- und Speicheranforderungen jedoch stark von den zu aktualisierenden Repositories ab. Einige Ökosysteme erfordern mehr Ressourcen als andere.
Wenn du mehr als 14 gleichzeitige Runner auf einer VM angibst, musst du auch die Docker-/etc/docker/daemon.json-Konfiguration aktualisieren, um die Standardanzahl von Netzwerken zu erhöhen, die Docker erstellen kann.
{
"default-address-pools": [
{"base":"10.10.0.0/16","size":24}
]
}
Warnung
Private Netzwerke werden derzeit weder mit einem Azure Virtual Network (VNET) noch mit dem Actions Runner Controller (ARC) für Dependabot auf GitHub Actions unterstützt. Wenn Sie VNET oder ARC verwenden, tun Sie dies auf eigenes Risiko und GitHub können Sie derzeit nicht unterstützen, wenn Probleme auftreten.
Netzwerkanforderungen für Dependabot Läufer
Dependabot-Runner benötigen Zugriff auf das öffentliche Internet, GitHub.com, und alle internen Registries, die in Dependabot updates verwendet werden. Um das Risiko für dein internes Netzwerk zu minimieren, solltest du den Zugriff auf den virtuellen Computer (VM) auf dein internes Netzwerk beschränken. Dadurch wird das Potenzial für Schäden an internen Systemen reduziert, wenn ein Runner eine Hijack-Abhängigkeit herunterladen sollte.
Zertifikatkonfiguration für Dependabot Läufer
Wenn Ihre GitHub Enterprise Server Instanz ein selbstsigniertes Zertifikat verwendet oder Dependabot mit Registrierungen interagieren muss, die selbstsignierte Zertifikate verwenden, müssen diese Zertifikate auch auf den selbst gehosteten Läufern installiert werden, die Aufträge ausführen Dependabot . Dadurch wird die Sicherheit der Verbindung erhöht. Du musst auch Node.js für die Verwendung des Zertifikats konfigurieren, da die meisten Aktionen in JavaScript geschrieben sind und mit Hilfe von Node.js ausgeführt werden, das nicht den Zertifikatspeicher des Betriebssystems verwendet.
Hinzufügen von selbst gehosteten Läufern für Dependabot Updates
-
Bereitstellen selbst gehosteter Runner auf der Ebene von Repository, Organisation oder Unternehmenskonto. Weitere Informationen findest du unter Selbstgehosteten Runnern und Selbst-gehostete Runner hinzufügen.
-
Richte die selbst gehosteten Runner mit den oben beschriebenen Anforderungen ein. Beispielsweise würdest du auf einer VM, auf der Ubuntu 20.04 ausgeführt wird, folgendes ausführen:
- Installiere Docker, und stelle sicher, dass die Runner-Benutzer Zugriff auf Docker haben. Weitere Informationen findest du in der Dokumentation zur Docker.
- Installieren der Docker-Engine unter Ubuntu
- Empfohlene Vorgehensweise: Ausführen des Docker-Daemons als Nicht-Root-Benutzer (Rootless-Modus).
- Alternativer Ansatz: Verwalten von Docker als Nicht-Root-Benutzer
- Stellen Sie sicher, dass die Läufer Zugriff auf das öffentliche Internet haben und nur auf die benötigten internen Netzwerke Dependabot zugreifen können.
- Installieren Sie alle selbstsignierten Zertifikate für Ihre GitHub Enterprise Server Instanz oder für Registrierungen, mit denen Dependabot sie interagieren müssen.
- Konfiguriere Node.js so, dass es das gleiche Zertifikat verwendet. Weitere Informationen finden Sie unter Problembehandlung bei GitHub Actions für Ihr Unternehmen.
- Installiere Docker, und stelle sicher, dass die Runner-Benutzer Zugriff auf Docker haben. Weitere Informationen findest du in der Dokumentation zur Docker.
-
Weisen Sie jedem Runner, den
dependabotverwenden soll, ein Dependabot Label zu. Weitere Informationen finden Sie unter Verwenden von Bezeichnungen mit selbstgehosteten Runnern. -
Sie können optional Workflows aktivieren, die durch Dependabot ausgelöst werden, damit sie mehr als nur Leseberechtigungen verwenden und auf alle normalerweise verfügbaren Secrets zugreifen können. Weitere Informationen finden Sie unter Problembehandlung bei GitHub Actions für Ihr Unternehmen.