Skip to main content

Gerenciar executores auto-hospedados para atualizações de Dependabot na sua empresa

Você pode criar executores dedicados para sua instância do GitHub Enterprise Server que o Dependabot usa para criar pull requests, ajudando a proteger e manter as dependências usadas nos repositórios da sua empresa.

Sobre corredores auto-hospedados para Dependabot updates

Você pode ajudar os usuários de sua instância do GitHub Enterprise Server a criar e manter código seguro configurando as atualizações de segurança e de versão do Dependabot. Com Dependabot updates, os desenvolvedores podem configurar repositórios para que suas dependências sejam atualizadas e mantidas seguras automaticamente. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Para usar Dependabot updates no sua instância do GitHub Enterprise Server, você deve configurar runners auto-hospedados para criar os pull requests que atualizarão as dependências.

Pré-requisitos

Configurar corredores auto-hospedados é apenas uma etapa no meio do processo de habilitação Dependabot updates. Há várias etapas que você deve seguir antes delas, incluindo configurar sua instância do GitHub Enterprise Server para usar GitHub Actions com executores auto-hospedados. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Configurando executores auto-hospedados para Dependabot updates

Requisitos de sistema para Dependabot runners

Qualquer máquina virtual (VM) que você usar para executores de Dependabot deve atender aos requisitos para executores auto-hospedados. Além disso, eles têm de cumprir os seguintes requisitos.

  • Sistema operacional Linux

  • Arquitetura x64

  • Docker instalado com acesso para os usuários do executor:

    • Recomendamos instalar o Docker no modo sem raiz e configurar os executores para acessar o Docker sem privilégios root.
    • Como alternativa, instale o Docker e dê aos usuários do executor privilégios elevados para executar o Docker.

Os requisitos de CPU e memória dependerão do número de executores simultâneos que você implanta em uma determinada VM. Como orientação, criamos de forma bem-sucedida 20 executores em uma única máquina CPU de 8 GB, mas, em última análise, seus requisitos de CPU e memória dependerão fortemente da atualização dos repositórios. Alguns ecossistemas exigirão mais recursos do que outros.

Se você especificar mais de 14 executores simultâneos em uma VM, também precisará atualizar a configuração /etc/docker/daemon.json do Docker para aumentar o número padrão de redes que o Docker pode criar.

{
  "default-address-pools": [
    {"base":"10.10.0.0/16","size":24}
  ]
}

Observação

Há suporte para rede privada com uma Rede Virtual (VNET) do Azure ou com o Actions Runner Controller (ARC) para Dependabot em GitHub Actions. Confira Configurando o Dependabot para execução em executores de ação auto-hospedados usando o Actions Runner Controller e Configurando o Dependabot para ser executado em executores de ação hospedados no github usando o Azure Rede Privada.

Requisitos de rede para Dependabot executores

Os executores Dependabot exigem acesso à Internet públicaGitHub.com e a todos os registros internos que serão usados em Dependabot updates. Para minimizar o risco para sua rede interna, você deve limitar o acesso da Máquina Virtual (VM) à sua rede interna. Isto reduz o potencial de danos nos sistemas internos se um executor fizer o download de uma dependência capturada.

Configuração de certificados para Dependabot runners

Se sua GitHub Enterprise Server instância usar um certificado autoassinado ou se Dependabot precisar interagir com registros que usam certificados autoassinados, esses certificados também deverão ser instalados nos executores auto-hospedados que executam Dependabot trabalhos. Essa segurança fortalece a conexão. Você também deve configurar o Node.js para usar o certificado, pois a maioria das ações são escritas em JavaScript e são executadas usando Node.js, que não usa o repositório de certificados do sistema operacional.

Adicionando executores auto-hospedados para Dependabot atualizações

  1. Provisionamento de executores auto-hospedados no nível da conta do repositório, organização ou empresa. Para saber mais, confira Executores auto-hospedados e Adicionar executores auto-hospedados.

  2. Configure os executores auto-hospedados com os requisitos descritos acima. Por exemplo, em uma VM que executa o Ubuntu 20.04, você faz o seguinte:

  3. Atribua um rótulo dependabot a cada executor que você quer que Dependabot use. Para saber mais, confira Usar rótulos com os executores auto-hospedados.

  4. Opcionalmente, habilite os fluxos de trabalho acionados por Dependabot para usar permissões além de somente leitura e ter acesso a todos os segredos normalmente disponíveis. Para saber mais, confira Solução de problemas de GitHub Actions para sua empresa.