Автоматический доступ Dependabot к GitHub-hosted реестрам

Поддерживайте свои личные зависимости в актуальном состоянии, предоставляя Dependabot автоматический доступ к GitHub Packages и Container registry, чтобы вам не пришлось создавать или менять учетные данные для этих реестров.

В этой статье

Об автоматическом доступе к GitHub-hosted реестрам

Dependabot может аутентифицироваться в приватные GitHub Packages и Container registry пакетные устройства с использованием тех же грантов доступа, что GitHub Actions и рабочие процессы. Если пакет предоставил вашему репозиторию доступ к чтению в настройках пакета, GitHub может Dependabotполучить доступ к нему автоматически.

Это устраняет необходимость:

  • Создание и управление personal access tokens доступом к реестру
  • Вручную настройте доступ к GitHub-hosted реестрам в вашем dependabot.yml файле
  • Ротация учетных данных при истечении срока действия токена

Как работает автоматический доступ

Dependabot использует его GITHUB_TOKEN для запроса packages: read разрешения при вытягивании из *.pkg.github.com и ghcr.io. Любой пакет, предоставивший доступ к вашему репозиторию через «Управление действиями доступа», принимает этот токен так же, как и в обычном GitHub Actions рабочем процессе. См. AUTOTITLE.git s

Это работает для всех GitHub Packages экосистем, которые Dependabot поддерживают.

Когда использовать автоматический доступ

Используйте автоматический доступ к GitHub-hosted реестрам, когда:

  • Ваши репозитории зависят от приватных пакетов, хранящихся в GitHub Packages или Container registry.
  • Вы хотите снизить накладные расходы на управление учётными данными.
  • Вам нужно избежать тихих сбоев обновлений, вызванных истечённым personal access tokensсроком действия .

Для сторонних реестров (таких как Artifactory, Azure Artifacts или Nexus) можно использовать dependabot.yml только конфигурацию реестра или настройки приватного реестра на уровне организации. См . раздел AUTOTITLE.

Как включить автоматический доступ

Для каждого пакета, который Dependabot нужно прочитать, нужно зайти на страницу настроек пакета и добавить репозиторий, который работает Dependabot с доступом к чтению . См . раздел AUTOTITLE.

После предоставления доступа репозиторию можно Dependabot автоматически использовать из этого пакета. Вам не нужно настраивать файл dependabot.yml , и вы можете удалить все существующие personal access tokenзаписи реестра на базе -, которые вы ранее добавили для этих пакетов.

Для получения дополнительной информации о настройке доступа к пакетам см. Настройка управления доступом и видимости пакета.