Skip to main content

Erreur : 403 « Ressource non accessible par intégration »

Cette erreur peut être observée sur les pull requests créées Dependabot et peut être résolue de plusieurs façons.

Remarque

Cet article de dépannage s’applique uniquement si vous voyez cette erreur avec Dependabot. Si vous voyez cette erreur avec d’autres GitHub produits et que vous avez des difficultés à le résoudre, vous pouvez contacter Support GitHub. Pour plus d’informations, consultez « Contacter le support GitHub ».

À propos de cette erreur

403: Resource not accessible by integration

Dependabot est considéré comme non approuvé lorsqu'il déclenche l'exécution d'un flux de travail, si celui-ci s'exécute avec des accès en lecture seule.

Confirmation de la cause de l’erreur

Si vous utilisez Dependabot dans votre code scanning flux de travail, examinez la portée qu'il utilise.

Le chargement des résultats d’une code scanning branche nécessite généralement l’étendue security-events: write . Toutefois, code scanning autorise toujours le chargement des résultats lorsque l’événement pull_request déclenche l’exécution de l’action. C’est pourquoi, pour Dependabot les branches, nous vous recommandons d’utiliser l’événement pull_request au lieu de l’événement push .

Résolution du problème

Vous pouvez exécuter sur les notifications push à la branche par défaut et toutes les autres branches importantes de longue durée, ainsi que les requêtes de tirage ouvertes sur cet ensemble de branches :

on:
  push:
    branches:
      - main
  pull_request:
    branches:
      - main

Vous pouvez également exécuter sur toutes les instructions push, à l'exception des branches Dependabot :

on:
  push:
    branches-ignore:
      - 'dependabot/**'
  pull_request:

L'analyse échoue toujours sur la branche par défaut

Si le Workflow d’analyse CodeQL commit échoue toujours sur la branche par défaut, vous devez vérifier :

  • Indique si Dependabot a réalisé la validation
  • Indique si la pull request qui inclut le commit a été fusionnée avec l’option de fusion par écrasement

Ce type de commit de fusion est créé par Dependabot et par conséquent, tous les flux de travail s'exécutant sur le commit auront des permissions en lecture seule. Si vous avez activé les mises à jour de sécurité code scanning et les mises à jour de version Dependabot sur votre dépôt, nous vous recommandons d’activer la fusion automatique sur la pull request avec la stratégie Créer un commit de fusion. Cela évite le commit de squash et fusion dont l’auteur serait Dependabot. Pour plus d’informations sur l’activation de la fusion automatique, consultez Fusion automatique d'une pull request.