À propos de Dependabot sur les exécuteurs GitHub Actions
Important
Si Dependabot est activé pour un référentiel, il s’exécutera toujours sur GitHub Actions, contournant à la fois les vérifications de stratégie Actions et la désactivation au niveau du référentiel ou de l’organisation. Cela garantit que les workflows de mises à jour de sécurité et de versions s’exécutent toujours lorsque Dependabot est activé.
L’utilisation d’exécuteurs GitHub Actions permet d’identifier plus facilement les erreurs des travaux Dependabot et de détecter manuellement les exécutions ayant échoué afin de résoudre les problèmes. Vous pouvez également intégrer Dependabot dans vos pipelines CI/CD en utilisant les API et les webhooks de GitHub Actions pour détecter l’état des tâches Dependabot, notamment les exécutions en échec, et effectuer des traitements en aval. Pour plus d’informations, consultez « Points de terminaison d’API REST pour GitHub Actions » et « Événements et charges utiles du webhook ».
Les nouveaux dépôts que vous créez dans votre compte d’utilisateur ou dans votre organisation seront automatiquement configurés pour exécuter Dependabot sur GitHub Actions à l’aide des exécuteurs standard hébergés par GitHub si l’un des éléments suivants est vrai :
- Dependabot est installé et activé, et GitHub Actions est activé et en cours d’utilisation.
- Le paramètre « Dependabot sur les exécuteurs GitHub Actions » est activé pour votre organisation.
Les prochaines versions de GitHub supprimeront la possibilité de désactiver l’exécution de Dependabot sur GitHub Actions.
Remarque
L’activation de Dependabot sur GitHub Actions peut augmenter le nombre de tâches simultanées exécutées sur votre compte. Si nécessaire, les clients des plans d’entreprise peuvent demander une limite plus élevée pour les travaux simultanés. Pour plus d’informations, contactez-nous via le Portail de support GitHub, ou contactez votre représentant commercial.
Options de l’exécuteur
Vous pouvez exécuter Dependabot sur GitHub Actions à l’aide de :
-
**Exécuteurs standard hébergés par GitHub.** Voici les exécuteurs par défaut utilisés par GitHub pour exécuter les tâches GitHub Actions. - Exécuteurs plus grands. Il s’agit d'exécuteurs hébergés par GitHub avec des fonctionnalités avancées telles que davantage de RAM, d’UC et d’espace disque. Pour plus d’informations, consultez « Utilisation des exécuteurs plus grands ».
-
**Exécuteurs auto-hébergés.** Ces exécuteurs vous offrent un meilleur contrôle sur l’accès de Dependabot à vos registres privés et à vos ressources réseau internes. Notez que, pour des raisons de sécurité, les mises à jour de Dependabot updates sur des exécuteurs auto-hébergés ne s’exécutent pas sur les dépôts publics. Pour plus d’informations sur l’affectation d’une étiquette `dependabot` sur les exécuteurs auto-hébergés, consultez [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/configure-on-self-hosted-runners).
L’exécution de Dependabot sur des exécuteurs standard hébergés par GitHub ou sur des exécuteurs auto-hébergés n’est pas comptabilisée dans vos minutes GitHub Actions incluses. Pour Dependabot sur exécuteurs plus grands, GitHub facturera votre organisation au tarif normal. Consultez « Tarification des runners Actions ».
Remarque
La mise en réseau privée est prise en charge avec un réseau virtuel Azure (VNET) ou l'Actions Runner Controller (ARC) pour Dependabot sur GitHub Actions. Consultez Configurer Dependabot pour qu'il s'exécute sur des exécuteurs d'actions auto-hébergés à l'aide du contrôleur d'exécuteurs d'actions et Configuration de Dependabot pour s’exécuter sur des exécuteurs d’actions hébergées sur github à l’aide du réseau privé Azure.
Interactions des paramètres de l'exécuteur
Les paramètres Dependabot sur des exécuteurs GitHub Actions et Dependabot sur des exécuteurs auto-hébergés sont interdépendants :
- L’activation de « Dependabot » sur les exécuteurs auto-hébergés active automatiquement « Dependabot » sur les exécuteurs GitHub Actions. La désactivation de « Dependabot sur des exécuteurs GitHub Actions » désactive automatiquement « Dependabot sur des exécuteurs auto-hébergés ».
- Lorsque les deux paramètres sont activés, Dependabot les travaux s’exécutent uniquement sur des exécuteurs auto-hébergés ou exécuteurs plus grands avec une
dependabotétiquette, et non sur des exécuteurs hébergés standard GitHub.
Avertissement
Si les deux paramètres sont activés, mais qu’aucun exécuteur auto-hébergé ou exécuteurs plus grands portant le libellé dependabot n’est disponible, les tâches Dependabot resteront en attente indéfiniment. Assurez-vous que des exécuteurs portant ce libellé sont configurés avant d’activer « Dependabot sur des exécuteurs auto-hébergés ».
Accès et autorisations
Si vous commencez à utiliser Dependabot sur des exécuteurs GitHub Actions et que vous limitez l’accès aux ressources privées de votre organisation ou de votre dépôt, vous devrez peut-être mettre à jour votre liste d’adresses IP autorisées. Par exemple, si vous limitez actuellement l’accès à vos ressources privées aux adresses IP utilisées par Dependabot, vous devez mettre à jour votre liste d’autorisation afin d’utiliser les adresses IP des exécuteurs hébergés par GitHub, issues du point de terminaison de l’API Meta. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les métadonnées ».
Étapes suivantes
Pour activer Dependabot sur des exécuteurs GitHub Actions, consultez Configuration de Dependabot sur des exécuteurs hébergés par GitHub et Configuration de Dependabot sur des exécuteurs auto-hébergés.