{"meta":{"title":"Dependabot en Acciones de GitHub","intro":"Información detallada sobre el uso Dependabot con GitHub Actions.","product":"Seguridad y calidad del código","breadcrumbs":[{"href":"/es/enterprise-cloud@latest/code-security","title":"Seguridad y calidad del código"},{"href":"/es/enterprise-cloud@latest/code-security/reference","title":"Referencia"},{"href":"/es/enterprise-cloud@latest/code-security/reference/supply-chain-security","title":"Seguridad de la cadena de suministro"},{"href":"/es/enterprise-cloud@latest/code-security/reference/supply-chain-security/dependabot-on-actions","title":"Dependabot en Acciones"}],"documentType":"article"},"body":"# Dependabot en Acciones de GitHub\n\nInformación detallada sobre el uso Dependabot con GitHub Actions.\n\n## Restricciones cuando Dependabot desencadena eventos\n\nEl Dependabot puede activar flujos de trabajo de las GitHub Actions en sus solicitudes de cambios y comentarios; sin embargo, algunos eventos se tratan de forma distinta.\n\nEn el caso de los flujos de trabajo iniciados por Dependabot (`github.actor == 'dependabot[bot]'`) mediante los eventos `pull_request`, `pull_request_review`, `pull_request_review_comment`, `push`, `create`, `deployment` y `deployment_status`, se aplican estas restricciones:\n\n* `GITHUB_TOKEN` tiene permisos de solo lectura de manera predeterminada.\n* Los secretos se rellenan a partir de Dependabot secretos.\n  GitHub Actions los secretos no están disponibles.\n\nEn el caso de los flujos de trabajo iniciados por Dependabot (`github.actor == 'dependabot[bot]'`) mediante el evento `pull_request_target`, si la ref base del pull request se creó mediante Dependabot (`github.event.pull_request.user.login == 'dependabot[bot]'`), el `GITHUB_TOKEN` será de solo lectura y los secretos no estarán disponibles.\n\nEstas restricciones se aplican incluso si un actor diferente vuelve a ejecutar el flujo de trabajo.\n\nPara más información, consulta [Cómo mantener seguras tus Acciones de GitHub y flujos de trabajo: prevención de solicitudes de control no autorizado](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/).\n\n## Requisitos para usar Dependabot con ejecutores autohospedados\n\nPara generar Dependabot updates mediante ejecutores autohospedados, debe configurar correctamente el sistema, la red y los certificados.\n\n### Requisitos del sistema\n\nCualquier máquina virtual (VM) que use para los ejecutores del Dependabot debe cumplir los requisitos de los ejecutores autohospedados. Además, deben cumplir los siguientes requisitos.\n\n* Sistema operativo Linux\n\n* Arquitectura x64\n\n* Tener Docker instalado con acceso para los usuarios del ejecutor:\n  * Se recomienda instalar Docker en modo sin raíz y configurar los ejecutores para acceder a Docker sin privilegios `root`.\n  * Como alternativa, instale Docker y conceda a los usuarios del ejecutor privilegios para ejecutar Docker.\n\nLos requisitos de CPU y memoria dependerán del número de ejecutores simultáneos que implemente en una máquina virtual determinada. A modo de guía, hemos configurado correctamente 20 ejecutores en una sola máquina de 8 GB de 2 CPU pero, en última instancia, los requisitos de CPU y memoria dependerán en gran medida de los repositorios que se actualicen. Algunos ecosistemas requerirán más recursos que otros.\n\nSi especifica más de 14 ejecutores simultáneos en una máquina virtual, también debe actualizar la configuración `/etc/docker/daemon.json` de Docker para aumentar el número predeterminado de redes que puede crear Docker.\n\n```json\n{\n  \"default-address-pools\": [\n    {\"base\":\"10.10.0.0/16\",\"size\":24}\n  ]\n}\n```\n\n### Requisitos de red\n\nLos ejecutores del Dependabot necesitan acceso al internet público, a GitHub.com y a cualquier registro interno que se utilizará en Dependabot updates. Para minimizar el riesgo de la red interna, debe limitar el acceso desde la máquina virtual (VM) a la red interna. Esto reduce la posibilidad de que se produzcan daños en los sistemas internos si un ejecutor descarga una dependencia secuestrada.\n\nTambién debes permitir el tráfico saliente a `dependabot-actions.githubapp.com` para evitar que se produzcan errores en los trabajos para Dependabot security updates. Para más información, consulta [Referencia de ejecutores autohospedados](/es/enterprise-cloud@latest/actions/hosting-your-own-runners/managing-self-hosted-runners/communicating-with-self-hosted-runners).\n\n### Configuración de certificados\n\nSi Dependabot necesita interactuar con registros que usan certificados autofirmados, estos certificados también deben instalarse en los ejecutores autohospedados que ejecutan Dependabot trabajos. Esta seguridad protege la conexión. También debes configurar Node.js para usar el certificado, ya que la mayoría de las acciones se escriben en JavaScript y se ejecutan utilizando Node.js, lo cual no utiliza el almacenamiento del certificado del sistema operativo."}