Configuration de Dependabot pour qu’il s’exécute sur des exécuteurs d’actions hébergés par GitHub à l’aide du réseau privé Azure

Vous pouvez configurer un réseau virtuel Azure (VNET) pour exécuter Dependabot sur des exécuteurs hébergés par GitHub.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture

Dans cet article

Configuration du réseau virtuel pour Dependabot updates

Cet article fournit des instructions étape par étape pour exécuter Dependabot sur des exécuteurs hébergés par GitHub configurés avec un réseau virtuel. L’article explique :

  • Comment créer des groupes d’exécuteurs pour votre entreprise ou organisation avec une configuration de réseau virtuel.
  • Comment créer des exécuteurs hébergés par GitHub pour Dependabot dans le groupe d’exécuteurs.
  • Comment activer Dependabot sur les exécuteurs volumineux.
  • Comment configurer les règles IP du pare-feu d’un réseau virtuel Azure.

Pour utiliser les exécuteurs hébergés par GitHub avec le réseau virtuel Azure, vous devez d’abord configurer vos ressources Azure, puis créer une configuration de réseau privé dans GitHub.

Configuration des ressources Azure

Pour découvrir comment utiliser les exécuteurs hébergés par GitHub avec un réseau privé Azure, consultez Configuration de vos ressources Azure.

Remarque

  • Le databaseId requis dans le script pour configurer les ressources Azure peut faire référence à l’un des éléments suivants, selon que vous configurez les ressources pour une entreprise ou une organisation :
  • Le slug de l’entreprise, que vous pouvez identifier en consultant l’URL de votre entreprise, https://github.com/enterprises/SLUG, ou
  • Les informations d’identification du compte de l’organisation, que vous pouvez identifier en consultant l’URL de votre organisation, https://github.com/organizations/ORGANIZATION_LOGIN.
  • Le script retournera la charge utile complète de la ressource créée. La valeur de hachage GitHubId renvoyée dans la charge utile pour la ressource créée correspond à l’ID de ressource des paramètres réseau que vous utiliserez dans les étapes suivantes lors de la configuration d’un réseau dans GitHub

Configuration d’un exécuteur injecté dans un réseau virtuel pour Dependabot updates dans votre entreprise

Après avoir configuré vos ressources Azure, vous pouvez utiliser un réseau virtuel Azure (VNET) pour un réseau privé en créant une configuration réseau au niveau de l'organisation. Ensuite, vous pouvez associer cette configuration réseau aux groupes d’exécuteurs.

  1. Ajouter une nouvelle configuration réseau pour votre entreprise. Consultez Ajouter une nouvelle configuration réseau pour votre entreprise
  2. Créez un groupe d’exécuteurs pour l’entreprise et sélectionnez les organisations pour lesquelles vous souhaitez exécuter Dependabot updates. Consultez Créer un groupe d’exécuteurs pour votre entreprise
  3. Créez et ajoutez un exécuteur hébergé par GitHub au groupe d’exécuteurs de l’entreprise. Consultez Ajout d’un exécuteur de plus grande taille à une entreprise. Les points importants sont les suivants :

    • Le nom de l’exécuteur doit être dependabot

    • Choisissez une plateforme Linux x64.

    • Sélectionnez la version d’Ubuntu appropriée.

    • Lors de l’ajout de l’exécuteur hébergé par GitHub à un groupe d’exécuteurs, sélectionnez le groupe d’exécuteurs que vous avez créé à l’étape précédente.

    Remarque

    Le fait de nommer l’exécuteur hébergé par GitHub dependabot lui attribue l’étiquette dependabot, ce qui lui permet de prendre en charge les tâches déclenchées par Dependabot dans le cadre des actions.

Activation de Dependabot pour l’organisation

Vous devez maintenant activer Dependabot sur exécuteurs auto-hébergés pour votre organisation afin d’activer Dependabot sur les exécuteurs volumineux. Consultez Activation ou désactivation de Dependabot sur les exécuteurs de plus grande taille.

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Advanced Security, puis cliquez sur Global settings.

  4. Sous Dependabot, sélectionnez Dependabot sur les exécuteurs auto-hébergés. Cette étape est nécessaire, car elle garantit que les futures tâches Dependabot s’exécuteront sur l’exécuteur de plus grande taille hébergé par GitHub et portant le nom dependabot.

Déclenchement d’une exécution Dependabot

Maintenant que vous avez configuré la mise en réseau privée avec le réseau virtuel, vous pouvez démarrer une exécution Dependabot.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur l’onglet Aperçus.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

    Capture d’écran de l’onglet « Graphe des dépendances ». L’onglet est mis en évidence avec un encadré orange.

  4. Sous « Graphe de dépendances », cliquez sur Dependabot .

  5. À droite du nom du fichier manifeste qui vous intéresse, cliquez sur Tâches de mise à jour récentes.

  6. Si aucune tâche de mise à jour récente n’est disponible pour le fichier manifeste, cliquez sur Vérifier les mises à jour pour réexécuter une tâche de mise à jour de la version Dependabot et vérifier si de nouvelles mises à jour sont disponibles pour les dépendances de cet écosystème.

Vérification des journaux et des tâches actives pour Dependabot updates

  • Vous pouvez consulter les journaux du flux de travail Dependabot dans l’onglet Actions de votre référentiel. Veillez à sélectionner la tâche Dependabot dans la barre latérale gauche de la page Actions.

    Exemple de journal pour un flux de travail « Dependabot dans le réseau virtuel ». La tâche Dependabot est mise en évidence par un contour orange.

  • Vous pouvez afficher les tâches actives dans la page contenant les informations sur l’exécuteur. Pour accéder à cette page, cliquez sur l’onglet Stratégies de l’entreprise, sélectionnez Actions dans la barre latérale gauche, cliquez sur l’onglet Groupe d’exécuteurs et sélectionnez votre exécuteur.

    Capture d’écran montrant les tâches actives d’un exécuteur Dependabot.

Configuration des règles IP du pare-feu d’un réseau virtuel Azure

Si votre environnement de réseau virtuel Azure est configuré avec un pare-feu doté d’une liste d’adresses IP autorisées, vous devrez peut-être mettre à jour votre liste d’adresses IP autorisées afin de pouvoir utiliser les adresses IP des exécuteurs hébergés par GitHub issues du point de terminaison de l’API Meta.

  • GitHub fournit le point de terminaison public suivant pour ses plages d’adresses IP :

    GET https://api.github.com/meta

  • Copiez et collez la commande curl suivante dans votre terminal ou votre invite de commande, puis remplacez la valeur du jeton du porteur de l’espace réservé par votre valeur réelle.

    Bash
          curl -L \
      -H "Accept: application/vnd.github+json" \
      -H "Authorization: Bearer YOUR-TOKEN" \
      -H "X-GitHub-Api-Version: 2022-11-28" \
      https://api.github.com/meta

  • Dans la réponse, recherchez la clé actions.

        "actions": [ ... ]

    Il s’agit des plages d’adresses IP utilisées par les exécuteurs GitHub Actions, y compris Dependabot et les exécuteurs hébergés.

  • Ajoutez ces adresses IP à la liste d’autorisation de votre pare-feu.