Dependabotが既存のワークフローをトリガーするときのエラーのトラブルシューティング
Dependabotに対して お使いの GitHub Enterprise Server インスタンス の更新プログラムを設定した後、Dependabot イベントによって既存のワークフローがトリガーされるとエラーが発生することがあります。
既定では、push、pull_request、pull_request_review、または pull_request_review_comment のイベントから GitHub Actions によってトリガーされる Dependabot ワークフローの実行は、リポジトリ フォークから開かれたかのように扱われます。 他のアクターによってトリガーされるワークフローとは異なり、これは読み取り専用の GITHUB_TOKEN を受け取り、通常使用できるシークレットにはアクセスできないことを意味します。 これにより、Dependabot によってトリガーされたときに、リポジトリへの書き込みを試みるワークフローが失敗します。
この問題を解決するには、次の 3 つの方法があります。
if: github.actor != 'dependabot[bot]'のような式を使用して、Dependabot によってトリガーされないようにワークフローを更新できます。 詳しくは、「ワークフロー内とアクション内で式を評価する」をご覧ください。- ワークフローを変更して、このような制限がない
pull_request_targetを含む 2 段階のプロセスを使用できます。 詳しくは、「GitHub Actions での Dependabot のトラブルシューティング」をご覧ください。 - Dependabot のアクセスによってトリガーされるワークフローをシークレットに提供し、
permissionsという用語でGITHUB_TOKENの既定のスコープを広げることができます。
この記事では、いくつかのトラブルシューティングに関するアドバイスを提供します。 「GitHub Actions のワークフロー構文」も参照してください。
シークレットにアクセスする
Dependabot イベントがワークフローをトリガーする場合、ワークフローで使用できるシークレットはDependabotシークレットだけです。 GitHub Actions シークレットは 使用できません。 そのため、 Dependabot イベントによってトリガーされるワークフローによって使用されるシークレットを Dependabot シークレットとして格納する必要があります。 詳細については、「Dependabot のプライベート レジストリへのアクセスの構成」を参照してください。
Dependabot シークレットは secrets コンテキストに追加され、 GitHub Actionsのシークレットとまったく同じ構文を使用して参照されます。 詳細については、「GitHub Actions でのシークレットの使用」を参照してください。
Dependabotや他のアクターによってトリガーされるワークフローがある場合、最も簡単な解決策は、アクションと同じ名前のDependabot シークレットに必要なアクセス許可を持つトークンを格納することです。 その後、ワークフローには、これらのシークレットへの 1 回の呼び出しを含めることができます。 Dependabotのシークレットの名前が異なる場合は、条件を使用して、使用するアクターごとに適切なシークレットを指定します。
条件を使う例については、「GitHub ActionsでのDependabotの自動化」を参照してください。
ユーザー名とパスワードを使用して AWS 上のプライベート コンテナー レジストリにアクセスするには、ワークフローに username と password のシークレットを含める必要があります。
この例では、Dependabotがワークフローをトリガーするときに、DependabotとREADONLY_AWS_ACCESS_KEY_IDの名前を持つREADONLY_AWS_ACCESS_KEY シークレットが使用されます。 別のアクターでワークフローがトリガーされる場合は、それらの名前を持つアクション シークレットが使用されます。
# このワークフローはGitHubによって認定されていないアクションを使用します。
# それらはサードパーティによって提供され、
# 別個の利用規約、プライバシーポリシー、
# ドキュメントを参照してください。
name: CI
on:
pull_request:
branches: [ main ]
jobs:
build:
runs-on: ubuntu-latest
steps:
- name: Checkout repository
uses: actions/checkout@v6
- name: Login to private container registry for dependencies
uses: docker/login-action@3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c
with:
registry: https://1234567890.dkr.ecr.us-east-1.amazonaws.com
username: ${{ secrets.READONLY_AWS_ACCESS_KEY_ID }}
password: ${{ secrets.READONLY_AWS_ACCESS_KEY }}
- name: Build the Docker image
run: docker build . --file Dockerfile --tag my-image-name:$(date +%s)
# このワークフローはGitHubによって認定されていないアクションを使用します。
# それらはサードパーティによって提供され、
# 別個の利用規約、プライバシーポリシー、
# ドキュメントを参照してください。
name: CI
on:
pull_request:
branches: [ main ]
jobs:
build:
runs-on: ubuntu-latest
steps:
- name: Checkout repository
uses: actions/checkout@v6
- name: Login to private container registry for dependencies
uses: docker/login-action@3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c
with:
registry: https://1234567890.dkr.ecr.us-east-1.amazonaws.com
username: ${{ secrets.READONLY_AWS_ACCESS_KEY_ID }}
password: ${{ secrets.READONLY_AWS_ACCESS_KEY }}
- name: Build the Docker image
run: docker build . --file Dockerfile --tag my-image-name:$(date +%s)
GITHUB_TOKEN アクセス許可の変更
既定では、GitHub ActionsによってトリガーされるDependabotワークフローは、読み取り専用アクセス許可を持つGITHUB_TOKENを取得します。 ワークフローで permissions キーを使用すると、トークンのアクセスを増やすことができます。
name: CI on: pull_request # Set the access for individual scopes, or use permissions: write-all permissions: pull-requests: write issues: write ... jobs: ...
name: CI
on: pull_request
# Set the access for individual scopes, or use permissions: write-all
permissions:
pull-requests: write
issues: write
...
jobs:
...
詳細については、「ワークフローでの認証に GITHUB_TOKEN を使用する」を参照してください。
手動でのワークフローの再実行
Dependabot ワークフローを手動で再実行すると、再実行を開始したユーザーの権限が異なる場合でも、以前と同じ特権で実行されます。 詳細については、「ワークフローとジョブの再実行」を参照してください。