Fehler: 403 „Ressource durch Integration nicht zugänglich“

Dieser Fehler kann bei Pull Requests auftreten, die von Dependabot erstellt wurden, und lässt sich auf verschiedene Arten beheben.

In diesem Artikel

Hinweis

Dieser Artikel zur Problembehandlung ist nur relevant, wenn dieser Fehler mit Dependabot angezeigt wird. Wenn dieser Fehler mit anderen GitHub-Produkten angezeigt wird und Probleme bei der Problembehandlung auftreten, können Sie sich an GitHub-Support wenden. Weitere Informationen finden Sie unter GitHub-Support kontaktieren.

Informationen zu diesem Fehler

403: Resource not accessible by integration

Dependabot wird als nicht vertrauenswürdig betrachtet, wenn es eine Workflowausführung auslöst, sofern der Workflow mit nur-Lesen-Berechtigungen ausgeführt wird.

Bestätigen der Fehlerursache

Wenn Sie Dependabot in Ihrem code scanning-Workflow verwenden, untersuchen Sie den verwendeten Geltungsbereich.

Das Hochladen von code scanning-Ergebnissen für einen Branch erfordert in der Regel den security-events: write-Bereich. Das code scanning ermöglicht jedoch immer das Hochladen von Ergebnissen, wenn das pull_request-Ereignis die Aktionsausführung auslöst. Aus diesem Grund wird für Dependabot-Branches empfohlen, das pull_request-Ereignis anstelle des push-Ereignisses zu verwenden.

Beheben des Problems

Sie können Pushes zu dem Standard-Branch und anderen wichtigen langfristigen Branches sowie Pull Requests, die gegen diese Gruppe von Branches geöffnet werden, ausführen.

on:
  push:
    branches:
      - main
  pull_request:
    branches:
      - main

Ein alternativer Ansatz besteht darin, alle Pushvorgänge mit Ausnahme von Dependabot-Branches auszuführen:

on:
  push:
    branches-ignore:
      - 'dependabot/**'
  pull_request:

Weitere Informationen zum Bearbeiten der CodeQL-Workflowdatei findest du unter Anpassen des erweiterten Setups für das Codescanning.

Analyse schlägt im Standard-Zweig immer noch fehl

Wenn der CodeQL-Analyseworkflow bei einem Commit im Standardbranch immer noch fehlschlägt, musst du Folgendes überprüfen:

  • Ob der Commit von Dependabot erstellt wurde
  • Wurde der Pull Request, der den Commit enthält, mit @dependabot squash and merge gemergt?

Diese Art von Mergecommit wird von Dependabot erstellt, weshalb alle Workflows, die für den Commit ausgeführt werden, über schreibgeschützte Berechtigungen verfügen. Wenn du das code scanning und Dependabot-Sicherheitsupdates bzw. Versionsupdates in deinem Repository aktiviert hast, solltest du die Verwendung des Dependabot-Befehls @dependabot squash and merge vermeiden. Stattdessen kannst du automatisches Mergen für dein Repository aktivieren. Dies bedeutet, dass Pull Requests automatisch gemergt werden, wenn alle erforderlichen Überprüfungen erfüllt sind und Statusprüfungen bestanden wurden. Weitere Informationen zum Aktivieren der Funktion für das automatische Mergen findest du unter Automatisches Zusammenführen eines Pull Requests.