Erro: 403 "Recurso não acessível por integração"

Esse erro pode ser visto em solicitações de pull criadas por Dependabot e pode ser resolvido com algumas maneiras diferentes.

Neste artigo

Observação

Este artigo de solução de problemas apenas será relevante se você estiver vendo esse erro com Dependabot. Se você vir esse erro com outros produtos da GitHub e tiver dificuldade para solucioná-lo, entre em contato com o Suporte do GitHub. Para saber mais, confira Entrando em contato com o suporte do GitHub.

Sobre este erro

403: Resource not accessible by integration

Dependabot é considerado não confiável quando aciona uma execução de fluxo de trabalho, se o fluxo de trabalho for executado com escopos somente leitura.

Confirmar a causa do erro

Se você estiver usando o Dependabot no seu fluxo de trabalho code scanning, investigue o escopo que está sendo utilizado.

Geralmente, o upload dos resultados de code scanning para um branch requer o escopo security-events: write. No entanto, a code scanning sempre permite o upload dos resultados quando o evento pull_request dispara a execução da ação. É por isso que, para os branches do Dependabot, recomendamos que você use o evento pull_request em vez do evento push.

Corrigir o problema

É possível realizar pushes no branch padrão e em qualquer outro branch de longa execução, bem como abrir pull requests contra este conjunto de branches.

on:
  push:
    branches:
      - main
  pull_request:
    branches:
      - main

Outra opção é executar todos os pushes, exceto nos branches Dependabot:

on:
  push:
    branches-ignore:
      - 'dependabot/**'
  pull_request:

Para obter mais informações sobre como editar o arquivo de fluxo de trabalho do CodeQL, confira Personalizando a configuração avançada para varredura de código.

A análise ainda falha na ramificação padrão

Se o Fluxo de trabalho de análise do CodeQL ainda falhar em um commit criado no branch padrão, você precisará verificar:

  • Se Dependabot criou o commit
  • Se a solicitação de pull que inclui a confirmação foi mesclada usando @dependabot squash and merge

Este tipo de commit de merge foi criado por Dependabot e, portanto, qualquer fluxo de trabalho que esteja em execução no commit terá permissões de somente leitura. Se você habilitou as atualizações de segurança ou as atualizações de versão da code scanning e do Dependabot no seu repositório, recomendamos que você evite usar o comando @dependabot squash and merge do Dependabot. Em vez disso, você pode habilitar a mesclagem automática para seu repositório. Isso significa que as solicitações de pull serão mescladas automaticamente quando todas as revisões necessárias forem atendidas e as verificações de status tiverem passado. Para obter mais informações sobre como habilitar a mesclagem automática, confira Fazer merge automático de um pull request.