Configuración del envío automático de dependencias para el repositorio

Puede usar el envío automático de dependencias para enviar datos de dependencia transitiva en el repositorio. Esto le permite analizar estas dependencias transitivas mediante el gráfico de dependencias.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Prerrequisitos

El gráfico de dependencias debe estar habilitado para que el repositorio pueda habilitar el envío automático de dependencias.

También debe habilitar GitHub Actions para el repositorio para poder usar el envío automático de dependencias. Para más información, consulta Administración de la configuración de GitHub Actions para un repositorio.

Nota:

En el caso de los ecosistemas que admiten Dependabot trabajos de grafos, no es necesario habilitar el envío automático de dependencias. Dependabot Los trabajos de gráfico se ejecutan automáticamente cuando el gráfico de dependencias está habilitado para tu repositorio, y tienen prioridad sobre el envío automático de dependencias. Consulte Cómo reconoce el gráfico de dependencias las dependencias.

Habilitación del envío automático de dependencias

Los administradores del repositorio pueden habilitar o deshabilitar el envío automático de dependencias para un repositorio siguiendo los pasos descritos en este procedimiento.

Los propietarios de la organización pueden habilitar el envío automático de dependencias para varios repositorios mediante una configuración de seguridad. Para más información, consulta Creación de una configuración de seguridad personalizada.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Gráfico de dependencias", haga clic en el menú desplegable situado junto a "Envío automático de dependencias" y seleccione Habilitado.

Una vez que haya habilitado el envío automático de dependencias para un repositorio, GitHub hará lo siguiente:

  • Búsqueda de inserciones en el repositorio.
  • Ejecuta la acción de compilación del gráfico de dependencias asociada al ecosistema de paquetes de los manifiestos del repositorio.
  • Realiza un envío automático de dependencias con los resultados.

Puede ver detalles sobre los flujos de trabajo automáticos ejecutados mediante la pestaña Acciones del repositorio.

Nota:

Después de habilitar el envío automático de dependencias, desencadenaremos automáticamente una ejecución de la acción. Una vez habilitado, se ejecutará cada vez que una confirmación en la rama predeterminada actualiza un manifiesto.

Acceso a registros privados

Uso de Dependabot claves confidenciales

En el caso de los ecosistemas que admiten Dependabot trabajos de grafo, puede configurar el acceso a registros privados usando secretos de Dependabot a nivel de organización o repositorio.

Cuando Dependabot los trabajos de grafo encuentran paquetes privados que no son accesibles a través de secretos configurados, esos paquetes se omiten correctamente del gráfico de dependencias sin provocar un error.

Para obtener más información sobre cómo configurar el acceso privado al registro, consulte Configuración del acceso a registros privados para Dependabot.

Uso de ejecutores autohospedados

Puede configurar ejecutores autohospedados para ejecutar trabajos de envío automático de dependencias, en lugar de usar la GitHub Actions infraestructura. Esto es necesario para acceder a registros privados para ecosistemas que no admiten Dependabot trabajos de grafos, o cuando tus registros solo son accesibles desde dentro de tu red. Los ejecutores autohospedados deben ejecutarse en Linux o macOS. Para la presentación automática de .NET y Python, deben tener acceso a la internet pública para descargar la última versión de detección de componentes.

  1. Aprovisione uno o más ejecutores de prueba interna en el nivel de repositorio u organización. Para más información, consulta Ejecutores autohospedados y Agrega ejecutores auto-hospedados.
  2. Asigne una etiqueta dependency-submission a cada ejecutor que quiera que use el envío automático de dependencias. Para más información, consulta Uso de etiquetas con ejecutores autohospedados.
  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.
  4. En "Gráfico de dependencias", haga clic en el menú desplegable situado junto a "Envío automático de dependencias" y, a continuación, seleccione Habilitado para ejecutores etiquetados.

Una vez habilitado, los trabajos de envío automático de dependencias se ejecutarán en los ejecutores autohospedados, a menos que:

  • Los ejecutores autohospedados no están disponibles.
  • No hay ningún grupo de ejecutores etiquetados con una etiqueta dependency-submission.

Nota:

En el caso de los proyectos de Maven o Gradle que usan ejecutores autohospedados con registros privados de Maven, debes modificar el archivo de configuración del servidor de Maven para permitir que los flujos de trabajo de envío de dependencias se conecten a los registros. Para obtener más información sobre el archivo de configuración del servidor de Maven, consulte Configuración de seguridad e implementación en la documentación de Maven.

Para ver las direcciones URL de la lista de autorizaciones de red, la configuración ampliada del ejecutor, los detalles de resolución de problemas y la información específica sobre el ecosistema de paquetes, consulte Envío automático de dependencias.

Lectura adicional