Résolution des défaillances quand Dependabot déclenche des workflows existants
Après avoir configuré les mises à jour Dependabot pour GitHub.com, il se peut que constatiez des défaillances quand des workflows existants sont déclenchés par des événements Dependabot.
Par défaut, les exécutions de workflows GitHub Actions qui sont déclenchées par Dependabot à partir d’événements push, pull_request, pull_request_review ou pull_request_review_comment ont considérées comme ayant été ouvertes à partir d’une duplication (fork) de dépôt. Contrairement aux workflows déclenchés par d’autres acteurs, cela signifie qu’ils reçoivent un GITHUB_TOKEN en lecture seule et qu’ils n’ont pas accès aux secrets qui sont normalement disponibles. Ainsi, les flux de travail qui tentent d’écrire dans le dépôt échouent quand ils sont déclenchés par Dependabot.
Il existe trois façons de résoudre ce problème :
- Vous pouvez mettre à jour vos workflows de sorte qu’ils ne soient plus déclenchés par Dependabot en utilisant une expression de ce type :
if: github.actor != 'dependabot[bot]'. Pour plus d’informations, consultez « Évaluer les expressions dans les workflows et les actions ». - Vous pouvez modifier vos workflows de sorte qu’ils utilisent un processus en deux étapes qui comprend
pull_request_targetqui ne présente pas ces limites. Pour plus d’informations, consultez « Automatisation de Dependabot avec GitHub Actions ». - Vous pouvez permettre aux workflows déclenchés par Dependabot d’accéder aux secrets et autoriser le terme
permissionsà augmenter l’étendue par défaut deGITHUB_TOKEN. Pour plus d’informations, consultez « Automatisation de Dependabot avec GitHub Actions » et « Workflow syntax for GitHub Actions ».