{"meta":{"title":"Dependabot auf GitHub Actions","intro":"Detaillierte Informationen zur Verwendung Dependabot mit GitHub Actions.","product":"Sicherheit und Codequalität","breadcrumbs":[{"href":"/de/code-security","title":"Sicherheit und Codequalität"},{"href":"/de/code-security/reference","title":"Reference"},{"href":"/de/code-security/reference/supply-chain-security","title":"Sicherheit der Lieferkette"},{"href":"/de/code-security/reference/supply-chain-security/dependabot-on-actions","title":"Dependabot über Actions"}],"documentType":"article"},"body":"# Dependabot auf GitHub Actions\n\nDetaillierte Informationen zur Verwendung Dependabot mit GitHub Actions.\n\n## Einschränkungen beim Dependabot Auslösen von Ereignissen\n\nVon Dependabot können GitHub Actions-Workflows in den zugehörigen Pull Requests und Kommentaren ausgelöst werden. Bestimmte Ereignisse werden jedoch anders behandelt.\n\nFür Workflows, die von Dependabot (`github.actor == 'dependabot[bot]'`) mithilfe von `pull_request`, `pull_request_review`, `pull_request_review_comment`, `push`, `create`, `deployment` und `deployment_status` Ereignissen initiiert werden, gelten die folgenden Einschränkungen:\n\n* `GITHUB_TOKEN` verfügt standardmäßig über Leseberechtigungen.\n* Geheimnisse werden aus Dependabot Geheimnissen erstellt.\n  GitHub Actions Geheime Schlüssel sind nicht verfügbar.\n\nBei Workflows, die von Dependabot (`github.actor == 'dependabot[bot]'`) mithilfe des `pull_request_target`-Ereignisses initiiert werden, ist die Basisreferenz des Pull-Requests, wenn sie von Dependabot (`github.event.pull_request.user.login == 'dependabot[bot]'`) erstellt wurde, `GITHUB_TOKEN` schreibgeschützt, und geheime Schlüssel sind nicht verfügbar.\n\nDiese Einschränkungen gelten auch, wenn der Workflow von einem anderen Akteur erneut ausgeführt wird.\n\nWeitere Informationen finden Sie unter [Aufrechterhalten der Sicherheit von GitHub Actions und GitHub-Workflows: Verhindern von pwn-Anforderungen](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/) zu finden.\n\n## Anforderungen für die Verwendung von Dependabot mit selbst gehosteten Läufern\n\nUm Dependabot updates mit selbst gehosteten Runnern zu nutzen, müssen Sie Ihr System, Netzwerk und Ihre Zertifikate ordnungsgemäß konfigurieren.\n\n### Systemanforderungen\n\nJede virtuelle Maschine (VM), die du für Dependabot-Runner verwendest, muss die Anforderungen für selbst gehostete Runner erfüllen. Sie muss außerdem die folgenden Anforderungen erfüllen.\n\n* Linux-Betriebssystem\n\n* x64-Architektur\n\n* Docker ist mit Zugriff für die Runner-Benutzer installiert:\n  * Du solltest Docker im Rootless-Modus installieren und die Runner für den Zugriff auf Docker ohne `root`-Berechtigungen konfigurieren.\n  * Installiere alternativ Docker, und gib den Runner-Benutzern Berechtigungen zum Ausführen von Docker.\n\nDie CPU- und Speicheranforderungen hängen von der Anzahl der gleichzeitigen Runner ab, die du auf einer bestimmten VM bereitstellst. Als Anhaltspunkt: Wir haben erfolgreich 20 Runner auf einem einzelnen Computer mit 2 CPUs und 8 GB eingerichtet. Letztendlich hängen deine CPU- und Speicheranforderungen jedoch stark von den zu aktualisierenden Repositories ab. Einige Ökosysteme erfordern mehr Ressourcen als andere.\n\nWenn du mehr als 14 gleichzeitige Runner auf einer VM angibst, musst du auch die Docker-`/etc/docker/daemon.json`-Konfiguration aktualisieren, um die Standardanzahl von Netzwerken zu erhöhen, die Docker erstellen kann.\n\n```json\n{\n  \"default-address-pools\": [\n    {\"base\":\"10.10.0.0/16\",\"size\":24}\n  ]\n}\n```\n\n### Netzwerkanforderungen\n\nDie Dependabot-Runner benötigen Zugriff auf das öffentliche Internet, github.com, und auf alle internen Registrierungen, die in Dependabot updates verwendet werden. Um das Risiko für dein internes Netzwerk zu minimieren, solltest du den Zugriff auf den virtuellen Computer (VM) auf dein internes Netzwerk beschränken. Dadurch wird das Potenzial für Schäden an internen Systemen reduziert, wenn ein Runner eine Hijack-Abhängigkeit herunterladen sollte.\n\nDu musst ausgehenden Datenverkehr zu `dependabot-actions.githubapp.com` zulassen, um zu verhindern, dass die Aufträge für Dependabot security updates fehlschlagen. Weitere Informationen finden Sie unter [Referenzen zu selbstgehosteten Runnern](/de/actions/hosting-your-own-runners/managing-self-hosted-runners/communicating-with-self-hosted-runners).\n\n### Zertifikatkonfiguration\n\nWenn Interaktionen mit Registrierungsstellen erforderlich sind, die selbstsignierte Zertifikate verwenden, müssen diese Zertifikate auch auf den selbst gehosteten Agenten installiert werden, die Aufträge von Dependabot ausführen. Dadurch wird die Sicherheit der Verbindung erhöht. Du musst auch Node.js für die Verwendung des Zertifikats konfigurieren, da die meisten Aktionen in JavaScript geschrieben sind und mit Hilfe von Node.js ausgeführt werden, das nicht den Zertifikatspeicher des Betriebssystems verwendet."}