Informationen zu Dependabot über GitHub Actions-Runner

GitHub führt automatisch die Jobs aus, die Dependabot Pull-Anforderungen für GitHub Actions generieren, wenn GitHub Actions für das Repository aktiviert sind. Wenn Dependabot aktiviert ist, werden diese Aufträge ausgeführt, indem Actions-Richtlinienüberprüfungen und -Deaktivierung auf Repository- oder Organisationsebene umgangen werden.

Wer kann dieses Feature verwenden?

Dependabot für GitHub Actions ist standardmäßig für alle Repositorys aktiviert, für die GitHub Actions aktiviert ist.

In diesem Artikel

Informationen zu Dependabot über GitHub Actions-Runner

Wichtig

Wenn Dependabot für ein Repository aktiviert ist, wird es immer in GitHub Actions ausgeführt, wobei die Actions-Richtlinienüberprüfungen und -Deaktivierung auf Repository- oder Organisationsebene umgangen werden. Dadurch wird sichergestellt, dass Workflows für Sicherheits- und Versionsupdates immer ausgeführt werden, wenn Dependabot aktiviert ist.

Anhand von GitHub Actions-Runnern können Sie Fehler in Dependabot-Jobs einfacher feststellen und fehlgeschlagene Ausführungen manuell erkennen und beheben. Sie können Dependabot anhand von GitHub Actions-APIs und Webhooks auch in Ihre CI/CD-Pipelines integrieren, um den Status von Dependabot-Jobs, wie z. B. fehlgeschlagene Ausführungen, zu erkennen und die nachgelagerte Verarbeitung vorzunehmen. Weitere Informationen findest du unter REST-API-Endpunkte für GitHub Actions und Webhook-Ereignisse und -Nutzlasten.

Neue Repositorys, die Sie in Ihrem Benutzerkonto oder in Ihrer Organisation erstellen, werden automatisch so konfiguriert, dass Dependabot auf GitHub Actions mit standardmäßigen, von GitHub gehosteten Runnern ausgeführt werden, wenn einer der folgenden Werte zutrifft:

  • Dependabot ist installiert und aktiviert, und GitHub Actions ist aktiviert und im Einsatz.
  • Die Einstellung „Dependabot über GitHub Actions Runner“ ist für deine Organisation aktiviert.

In zukünftigen Versionen von GitHub wird die Möglichkeit entfernt, die Ausführung von Dependabot für GitHub Actions zu deaktivieren.

Hinweis

Durch das Aktivieren von Dependabot für GitHub Actions kann die Anzahl der gleichzeitig ausgeführten Jobs in Ihrem Konto zunehmen. Bei Bedarf können Kunden in Enterprise-Plänen einen höheren Grenzwert für gleichzeitige Aufträge anfordern. Weitere Informationen erhalten Sie von uns über das GitHub-Supportportal oder von Ihren Vertriebsmitarbeitern.

Runner-Optionen

Sie können Dependabot auf GitHub Actions anwenden: * Standard-Runner, die von GitHub gehostet werden. Dies sind die Standard-Runner, die von GitHub verwendet werden, um GitHub Actions Jobs auszuführen. * Größere Runner. Dies sind GitHub-gehostete Runner mit erweiterten Funktionen wie mehr RAM, mehr CPU und mehr Speicherplatz. Weitere Informationen finden Sie unter Verwenden größerer Runner. * Selbst gehostete Läufer. Diese Läufer gewähren Ihnen eine bessere Kontrolle über Dependabot Zugriff auf Ihre privaten Registrierungen und internen Netzwerkressourcen. Beachten Sie, dass aus Sicherheitsgründen Dependabot updates auf selbst gehosteten Runners nicht auf öffentlichen Repositories ausgeführt werden. Weitere Informationen zum Zuweisen einer dependabot-Bezeichnung für selbst gehostete Runner findest du unter Konfigurieren von Dependabot für selbst gehostete Läufer.

Das Ausführen von Dependabot auf standardmäßigen GitHub-gehosteten oder selbstgehosteten Runnern wird nicht auf Ihre inbegriffenen GitHub Actions-Minuten angerechnet. Für Dependabot auf größere Runner wird GitHub Ihrer Organisation den regulären Satz berechnen. Weitere Informationen findest du unter Actions Runner Preise.

Hinweis

Private Netzwerke werden mit einem virtuellen Azure-Netzwerk (VNet) oder dem Actions Runner Controller (ARC) für Dependabot in GitHub Actions unterstützt. Informationen findest du unter Einrichten von Dependabot für die Ausführung auf selbst gehosteten Aktionsrunnern mit dem Actions Runner Controller und Einrichten von Dependabot zum Ausführen auf von Github gehosteten Action Runnern unter Verwendung des Azure Private Network.

Zugriff und Berechtigungen

Wenn Sie zum Einsatz von Dependabot über GitHub Actions-Runner übergehen und den Zugriff auf die privaten Ressourcen Ihrer Organisation oder Ihres Repositorys einschränken, müssen Sie gegebenenfalls Ihre Liste zugelassener IP-Adressen aktualisieren. Wenn Sie z. B. den Zugriff auf Ihre privaten Ressourcen auf die von Dependabot verwendeten IP-Adressen beschränken, sollten Sie Ihre Zulassungsliste so aktualisieren, dass die vom Meta-API-Endpunkt stammenden IP-Adressen der GitHub-gehosteten Runner verwendet werden. Weitere Informationen finden Sie unter REST-API-Endpunkte für Metadaten.

Nächste Schritte

Informationen zum Aktivieren von Dependabot für GitHub Actions Runner finden Sie unter Konfigurieren von Dependabot auf GitHub-gehosteten Runnern und Konfigurieren von Dependabot für selbst gehostete Läufer.