Accès automatique de Dependabot aux registres hébergés sur GitHub

Gardez vos dépendances privées à jour en toute fiabilité en accordant à Dependabot un accès automatique à GitHub Packages et Container registry ; ainsi, vous n’avez jamais à créer ni à renouveler des identifiants pour ces registres.

Dans cet article

À propos de l’accès automatique aux dépôts hébergés sur GitHub

Dependabot peut s’authentifier avec des packages privés GitHub Packages et Container registry en utilisant les mêmes autorisations d’accès que les flux de travail GitHub Actions utilisent. Si un package a accordé à votre dépôt un accès en lecture dans les paramètres du package sur GitHub, Dependabot peut accéder automatiquement à ce package.

Cela élimine la nécessité de :

  • Créer et gérer personal access tokens pour l’accès au Registre
  • Configurer manuellement l’accès aux GitHubregistres hébergés dans votre dependabot.yml fichier
  • Faire pivoter les informations d’identification à l’expiration des jetons

Fonctionnement de l’accès automatique

Dependabot utilise son GITHUB_TOKEN pour demander l’autorisation packages: read lors de l’extraction depuis *.pkg.github.com et ghcr.io. Tout package ayant accordé à votre référentiel l’accès via « Gérer l’accès à Actions » accepte ce jeton, de la même manière que pour un flux de travail standard GitHub Actions. Voir AUTOTITLE.git s

Cela fonctionne dans tous les écosystèmes GitHub Packages pris en charge par Dependabot.

Quand utiliser l’accès automatique

Utilisez l’accès automatique aux GitHubregistres hébergés lorsque :

  • Vos dépôts dépendent de packages privés stockés dans GitHub Packages ou Container registry.
  • Vous souhaitez réduire la surcharge de gestion des informations d’identification.
  • Vous souhaitez éviter les échecs silencieux de mise à jour causés par un personal access tokens expiré.

Pour les registres tiers (tels que Artifactory, Azure Artifacts ou Nexus), vous pouvez uniquement utiliser les paramètres de registre ou de registre privé au niveau de l’organisationdependabot.yml. Consultez « Configuration de l’accès aux registres privés pour Dependabot ».

Comment activer l’accès automatique

Pour chaque package que Dependabot doit lire, vous devez accéder à la page des paramètres du package et ajouter le dépôt qui exécute Dependabot avec l’accès Lecture. Consultez « Configuration de l’accès aux registres privés pour Dependabot ».

Une fois l’accès accordé au référentiel, Dependabot peut extraire automatiquement ce package. Vous n’avez pas besoin de configurer le dependabot.yml fichier et vous pouvez supprimer les entrées de Registre existantes personal access tokenque vous avez précédemment ajoutées pour ces packages.

Pour plus d’informations sur la configuration de l’accès aux packages, consultez Configuration du contrôle d’accès et de la visibilité d’un package.