エンタープライズでの Dependabot 更新プログラ� のセルフホステッドランナーの管理

この記事では、次の� �目が扱われます。

Enterprise 上のリポジトリで使用される依存関係をセキュリティで保護して維持するための pull request を作成する目的で Dependabot によって使用される your GitHub Enterprise Server instance の専用ランナーを作成できます。

**注:** Dependabot セキュリティとバージョンの更新プログラ� は現在プライベートベータ版であり、変更される可能性があります。 Dependabot アップデートを有効にする手� �については、[アカウント管理チー� にお問い合せく� さい](https://enterprise.github.com/contact)。

Dependabot updates のセルフホステッドランナーについて

Dependabot のセキュリティとバージョン更新プログラ� を設定することで、your GitHub Enterprise Server instance のユーザーが、安全なコードを作成して管理できるようにします。 Dependabot updatesを使用すると、開発者は、依存関係が自動的に更新されてセキュアな状態が維持されるようにリポジトリを構成できます。詳細については、「エンタープライズでの Dependabot の有効化」を参照してく� さい。

your GitHub Enterprise Server instance 上で Dependabot updates を使うには、依存関係を更新する pull request を作成するようにセルフホステッドランナーを構成する必要があります。

前提条件

Dependabot updates のセルフホステッドランナーを構成する前に、次を行う必要があります。

セルフホステッドランナーで GitHub Actions を使うように your GitHub Enterprise Server instance を構成します。詳細については、「GitHub Enterprise Server の GitHub Actions の概要」を参照してく� さい。
エンタープライズでの Dependabot alerts を有効化します。詳細については、「エンタープライズでの Dependabot の有効化」を参照してく� さい。

Dependabot updates用のセルフホステッドランナーの構成

GitHub Actions を使うように your GitHub Enterprise Server instance を構成した後で、Dependabot updates 用のセルフホステッドランナーを追� する必要があります。

Dependabot ランナーのシステ� 要件

Dependabot ランナーのために使用する VM は、セルフホステッドランナーの要件を満たす必要があります。さらに、次の要件も満たしている必要があります。

Linux オペレーティングシステ�
x64 アーキテクチャ
Git がインストールされていること
Docker がランナーユーザーのアクセス権を使用してインストールされていること:
- Docker をルートレスモードでインストールし、root 権限なしで Docker にアクセスするようにランナーを構成することをお勧めします。
- または、Docker をインストールしてから、Docker を実行するための昇� �権限をランナーユーザーに付与します。

CPU とメモリの要件は、特定の VM にデプロイする同時実行ランナーの数によって異なります。ガイダンスとしては、1 台の 2 CPU 8 GB マシンに 20 台のランナーを正常に設定できました。た� し、最終的に CPU とメモリの要件は更新対象のリポジトリによって大きく異なります。エコシステ� によっては、他のエコシステ� よりも多くのリソースが必要になります。

14 を超える同時実行ランナーを 1 つの VM に指定する� �合は、Docker が作成できるネットワークの既定数を増やすように Docker の /etc/docker/daemon.json 構成も更新する必要があります。

{
  "default-address-pools": [
    {"base":"10.10.0.0/16","size":24}
  ]
}

Dependabot ランナーのネットワーク要件

Dependabot ランナーは、パブリックインターネット、GitHub.com、および Dependabot 更新プログラ� で使用されるすべての内部レジストリへのアクセスが必要です。内部ネットワークに対するリスクを最小限に抑えるには、仮想マシン (VM) から内部ネットワークへのアクセスを制限する必要があります。これにより、ハイジャックされた依存関係をランナーがダウンロードした� �合に、内部システ� が損害を受ける可能性が減少します。

Dependabot 更新プログラ� 用のセルフホステッドランナーの追�

セルフホステッドランナーを、リポジトリ、組織、またはエンタープライズアカウントレベルでプロビジョニングします。詳細については、「セルフホストランナーについて」および「セルフホストランナーの追� 」を参照してく� さい。
上記の要件を使用して、セルフホステッドランナーを設定します。たとえば、Ubuntu 20.04 を実行している VM では、次のようになります。
- Git がインストールされていることを確認します。command -v git
- Docker をインストールし、ランナーユーザーが Docker にアクセスできることを確認します。詳細については、Docker のドキュメントをご覧く� さい。
  - Ubuntu に Docker エンジンをインストールする
  - 推奨される方法: 非ルートユーザーとして Docker デーモンを実行する (ルートレスモード)
  - 別の方法: 非ルートユーザーとして Docker を管理する
- ランナーがパブリックインターネットにアクセスできることと、Dependabot が必要とする内部ネットワークのみにアクセスできることを確認します。
dependabot ラベルを、Dependabot で使用する各ランナーに割り当てます。詳細については、「セルフホステッドランナーでのラベルの使用」を参照してく� さい。
必要に応じて、Dependabot によってトリガーされるワークフローで、読み取り専用を上回るアクセス許可を使用し、通常提供されているシークレットにアクセスできるようにします。詳細については、「エンタープライズでの GitHub Actions のトラブルシューティング」を参照してく� さい。

エンタープライズでの Dependabot 更新プログラ� のセルフホステッド ランナーの管理