Сведения о локальных бегунах для Dependabot updates
Вы можете помочь пользователям создавать и поддерживать безопасный ваш экземпляр GitHub Enterprise Server код, настраивая Dependabot обновления безопасности и версии. С Dependabot updatesпомощью разработчиков можно настроить репозитории таким образом, чтобы их зависимости обновлялись и сохранялись автоматически. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.
Чтобы использовать Dependabot updatesваш экземпляр GitHub Enterprise Serverэтот параметр, необходимо настроить локальные средства выполнения, чтобы создать запросы на вытягивание, которые будут обновлять зависимости.
Необходимые компоненты
Настройка локальных модулей выполнения — это только один шаг в середине процесса включения Dependabot updates. Перед выполнением этих действий необходимо выполнить несколько шагов, включая настройку ваш экземпляр GitHub Enterprise Server использования GitHub Actions с локальными средствами выполнения. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.
Настройка локальных модулей выполнения для Dependabot updates
Требования к системе для Dependabot запуска
Все виртуальные машины, используемые для Dependabot runners, должны соответствовать требованиям для локальных средств выполнения. Кроме того, они должны соответствовать следующим требованиям.
-
Операционная система Linux
-
Архитектура x64
-
Docker, установленный с доступом для пользователей средства выполнения:
- Рекомендуется установить Docker в режиме без корня и настроить средства выполнения для доступа к Docker без привилегий
root. - Вы также можете установить Docker и предоставить пользователям средств выполнения повышенные привилегии для запуска Docker.
- Рекомендуется установить Docker в режиме без корня и настроить средства выполнения для доступа к Docker без привилегий
Требования к ЦП и памяти зависят от количества параллельных средств выполнения, развернутых на конкретной виртуальной машине. Для справки — нам удалось успешно настроить 20 средств выполнения на одной виртуальной машине с двумя ЦП и 8 ГБ, но в конечном счете требования к ЦП и памяти будут сильно зависеть от обновляемых репозиториев. Для одних экосистем потребуется больше ресурсов, чем для других.
Если вы указываете более 14 параллельных средств выполнения на виртуальной машине, необходимо также обновить конфигурацию Docker /etc/docker/daemon.json, чтобы увеличить число сетей по умолчанию, которое может создавать Docker.
{
"default-address-pools": [
{"base":"10.10.0.0/16","size":24}
]
}
Примечание.
Частная сеть поддерживается либо с помощью виртуальной сети Azure (VNET), либо контроллера Actions Runner (ARC) для Dependabot на GitHub Actions. См. раздел [AUTOTITLE и Настройка Dependabot для запуска на локальных запусках действий с помощью контроллера runner actions](/code-security/how-tos/secure-at-scale/configure-enterprise-security/configure-specific-tools/setting-dependabot-to-run-on-github-hosted-runners-using-vnet).
Требования к сети для Dependabot runners
Dependabot Для запуска требуется доступ к общедоступному Интернету, GitHub.comа также все внутренние реестры, которые будут использоваться в Dependabot updates. Чтобы свести к минимуму риск для внутренней сети, следует ограничить доступ с виртуальной машины во внутреннюю сеть. Это снижает вероятность повреждения внутренних систем, если средство выполнения загрузит взломанную зависимость.
Конфигурация сертификата для Dependabot модулей runner
Если в экземпляре GitHub Enterprise Server используется самозаверяющий сертификат или требуется Dependabot взаимодействовать с реестрами, использующими самозаверяющие сертификаты, эти сертификаты также должны быть установлены на локальных запусках, выполняющих Dependabot задания. Эта безопасность затвердевает подключение. Кроме того, необходимо настроить Node.js для использования сертификата, так как большинство действий записываются в JavaScript и выполняются с помощью Node.js, которая не использует хранилище сертификатов операционной системы.
Добавление локальных модулей выполнения для Dependabot обновлений
-
Подготовьте локальные средства выполнения на уровне учетной записи репозитория, организации или предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Локальные средства выполнения тестов](/actions/how-tos/manage-runners/self-hosted-runners/add-runners).
-
Настройте локальные средства выполнения в соответствии с указанными выше требованиями. Например, на виртуальной машине под управлением Ubuntu 20.04 вам нужно выполнить следующее.
- Установить Docker и убедиться, что пользователи средства выполнения имеют доступ к Docker. Дополнительные сведения см. в документации Docker.
- Установка подсистемы Docker в Ubuntu
- Рекомендуемый подход. Запуск управляющей программы Docker в качестве некорневого пользователя (режим без корня)
- Альтернативный подход. Управление Docker в качестве некорневого пользователя
- Убедитесь, что у бегуна есть доступ к общедоступному Интернету и доступ к внутренним сетям, которым Dependabot требуется.
- Установите все самозаверяющие сертификаты для экземпляра GitHub Enterprise Server или реестров, с которыми Dependabot потребуется взаимодействовать.
- Настройте Node.js для использования того же сертификата. Дополнительные сведения см. в разделе Устранение неполадок GitHub Actions для вашего предприятия.
- Установить Docker и убедиться, что пользователи средства выполнения имеют доступ к Docker. Дополнительные сведения см. в документации Docker.
-
Назначьте метку каждому средству
dependabotвыполнения, который вы хотите Dependabot использовать. Дополнительные сведения см. в разделе Использование меток с самостоятельно размещенными средствами выполнения. -
При необходимости включите рабочие процессы, активированные с помощью Dependabot более чем разрешения только для чтения, и иметь доступ к любым секретам, которые обычно доступны. Дополнительные сведения см. в разделе Устранение неполадок GitHub Actions для вашего предприятия.