Informationen zu privaten Registrierungen
Dependabot version updates hält deine Abhängigkeiten immer auf dem neuesten Stand. Dependabot kann auf öffentliche Registrierungen zugreifen. Darüber hinaus kannst du Dependabot version updates den Zugriff auf private Paketregistrierungen und private GitHub-Repositorys gewähren, sodass du deine privaten Registrierungen und Registrierungen innerhalb der Quelle auf demselben aktuellen Stand halten kannst wie deine öffentlichen Abhängigkeiten.
In den meisten Ökosystemen werden private Abhängigkeiten in der Regel in privaten Paketregistrierungen veröffentlicht. Diese privaten Registrierungen ähneln ihren öffentlichen Entsprechungen, erfordern jedoch eine Authentifizierung.
Konfigurieren privater Registrierungen
Du konfigurierst den Zugriff von Dependabot auf private Registrierungen in der Datei dependabot.yml.
Der registries
-Schlüssel der obersten Ebene ist optional und gibt Authentifizierungsdetails an. Du kannst die Verwendung aller definierten Registrierungen zulassen, indem du registries
auf "*"
festlegst. Alternativ dazu kannst du die Registrierungen auflisten, die vom Update verwendet werden können. Verwende dazu den Namen der Registrierung, wie im registries
-Abschnitt der obersten Ebene der Datei dependabot.yml definiert.
Du verwendest die folgenden Optionen, um Zugriffseinstellungen anzugeben. Registrierungseinstellungen müssen einen type
und eine url
enthalten, sowie in der Regel eine Kombination aus username
und password
oder ein token
.
Option | BESCHREIBUNG |
---|---|
type | Identifiziert den Typ der Registrierung. Nachstehend findest du die vollständige Liste der Typen. |
url | Die URL, die für den Zugriff auf die Abhängigkeiten in dieser Registrierung verwendet werden soll. Das Protokoll ist optional. Falls nicht angegeben, https:// wird angenommen. Nachstehende Schrägstriche werden von Dependabot nach Bedarf hinzugefügt oder ignoriert. |
username | Der Benutzername, der von Dependabot für den Zugriff auf die Registrierung verwendet wird. |
password | Ein Verweis auf einen geheimen Dependabot-Schlüssel, der das Kennwort für den angegebenen Benutzer enthält. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot. |
key | Ein Verweis auf einen geheimen Dependabot-Schlüssel, der einen Zugriffsschlüssel für diese Registrierung enthält. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot. |
token | Ein Verweis auf einen geheimen Dependabot-Schlüssel, der ein Zugriffstoken für diese Registrierung enthält. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot. |
replaces-base | Bei Registrierungen mit type: python-index werden Abhängigkeiten beim booleschen Wert true beispielsweise von pip mithilfe der angegebenen URL anstelle der Basis-URL des Python-Paketindex aufgelöst (Standardwert: https://pypi.org/simple ). |
Weitere Informationen zu den verfügbaren Konfigurationsoptionen, deren Verwendung und den unterstützten Typen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.
Speichern von Anmeldeinformationen für die Verwendung durch Dependabot
Um Dependabot den Zugriff auf die von GitHub unterstützten privaten Registrierungen zu gewähren, speicherst du das Zugriffstoken oder Geheimnis der Registrierung im Geheimnisspeicher für dein Repository oder deine Organisation.
Informationen zu verschlüsselten Geheimnissen für Dependabot
Bei Dependabot-Schlüsseln handelt es sich um verschlüsselte Anmeldeinformationen, die du entweder auf Organisationsebene oder auf Repositoryebene erstellst. Wenn du auf Organisationsebene ein Geheimnis hinzufügst, kannst du angeben, welche Repositorys darauf zugreifen kannst. Du kannst Geheimnisse verwenden, um Dependabot zu erlauben, Abhängigkeiten in privaten Paketregistrierungen zu aktualisieren. Wenn du ein Geheimnis hinzufügst, wird es verschlüsselt, bevor es GitHub erreicht. Daraufhin bleibt es verschlüsselt, bis es von Dependabot für den Zugriff auf eine private Paketregistrierung verwendet wird.
Dependabot-Geheimnisse umfassen auch Geheimnisse, die von den durch Dependabot-Pull-Requests ausgelösten GitHub Actions-Workflows verwendet werden. Dependabot selbst verwendet diese Geheimnisse möglicherweise nicht, aber die Workflows erfordern sie. Weitere Informationen findest du unter Automatisieren von Dependabot mit GitHub Actions.
Nachdem du ein Dependabot-Geheimnis hinzugefügt hast, kannst du darauf wie folgt in der Konfigurationsdatei dependabot.yml verweisen: ${{secrets.NAME}}
, wobei „NAME“ der Name ist, den du für das Geheimnis ausgewählt hast. Beispiel:
password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}
Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.
Benennen deiner Geheimnisse
Der Name eines Dependabot-Geheimnisses:
- darf nur alphanumerische Zeichen (
[A-Z]
,[0-9]
) oder Unterstriche (_
) enthalten. Leerzeichen sind nicht zulässig. Wenn du Kleinbuchstaben eingibst, werden diese in Großbuchstaben geändert. - darf nicht mit dem
GITHUB_
-Präfix beginnen. - darf nicht mit einer Zahl beginnen.
Hinzufügen eines Repositorygeheimnisses für Dependabot
Um Geheimnisse für das Repository eines persönlichen Kontos zu erstellen, musst Du der Besitzer des Repositorys sein. Um Geheimnisse für ein Organisationsrepository zu erstellen, musst du über admin
-Zugriff verfügen.
-
Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys. 1. Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Wähle im Abschnitt „Sicherheit“ der Seitenleiste Geheimnisse aus, und klicke dann auf Dependabot .
-
Klicke auf Neues Repositorygeheimnis.
-
Gib einen Namen für dein Geheimnis in das Eingabefeld Name ein.
-
Gib den Wert für das Geheimnis ein.
-
Klicke auf Geheimnis hinzufügen.
Der Name des Geheimnisses wird auf der Geheimnisseite von Dependabot aufgeführt. Du kannst auf Aktualisieren klicken, um den Wert des Geheimnisses zu ändern. Du kannst auf Entfernen klicken, um das Geheimnis zu löschen.
Hinzufügen eines Organisationsgeheimnisses für Dependabot
Beim Erstellen eines Geheimnisses in einer Organisation kannst du eine Richtlinie verwenden, um einzuschränken, welche Repositorys darauf zugreifen können. Du kannst beispielsweise allen Repositorys Zugriff gewähren oder nur private Repositorys oder eine angegebene Liste von Repositorys zulassen.
Für das Erstellen von Geheimnissen auf Organisationsebene benötigst du admin
-Zugriff.
-
Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite der Organisation. 1. Klicke unter deinem Organisationsnamen auf die Option Einstellungen. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Wähle im Abschnitt „Sicherheit“ der Seitenleiste Geheimnisse aus, und klicke dann auf Dependabot .
-
Klicke auf Neues Organisationsgeheimnis.
-
Gib einen Namen für dein Geheimnis in das Eingabefeld Name ein.
-
Gib den Wert für das Geheimnis ein.
-
Wähle in der Dropdownliste Repositoryzugriff eine Zugriffsrichtlinie aus.
-
Wenn du Ausgewählte Repositorys ausgewählt hast:
- klicke auf .
- Wähle im Dialogfeld die Repositorys aus, die auf dieses Geheimnis zugreifen können.
- Klicke auf Auswahl aktualisieren.
-
Klicke auf Geheimnis hinzufügen.
Der Name des Geheimnisses wird auf der Dependabot-Geheimnisseite angezeigt. Du kannst auf Aktualisieren klicken, um den Geheimniswert oder die Zugriffsrichtlinie zu ändern. Du kannst auf Entfernen klicken, um das Geheimnis zu löschen.