Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Konfigurieren des Zugriffs auf private Registrierungen für Dependabot

In diesem Artikel

Du kannst Dependabot für den Zugriff auf Abhängigkeiten konfigurieren, die in privaten Registrierungen gespeichert sind. Du kannst Authentifizierungsinformationen wie Kennwörter und Zugriffstoken als verschlüsselte Geheimnisse speichern und dann in der Dependabot-Konfigurationsdatei darauf verweisen.

Informationen zu privaten Registrierungen

Dependabot version updates hält deine Abhängigkeiten immer auf dem neuesten Stand. Dependabot kann auf öffentliche Registrierungen zugreifen. Darüber hinaus kannst du Dependabot version updates den Zugriff auf private Paketregistrierungen und private GitHub-Repositorys gewähren, sodass du deine privaten Registrierungen und Registrierungen innerhalb der Quelle auf demselben aktuellen Stand halten kannst wie deine öffentlichen Abhängigkeiten.

In den meisten Ökosystemen werden private Abhängigkeiten in der Regel in privaten Paketregistrierungen veröffentlicht. Diese privaten Registrierungen ähneln ihren öffentlichen Entsprechungen, erfordern jedoch eine Authentifizierung.

Konfigurieren privater Registrierungen

Du konfigurierst den Zugriff von Dependabot auf private Registrierungen in der Datei dependabot.yml. Der registries-Schlüssel der obersten Ebene ist optional und gibt Authentifizierungsdetails an. Du kannst die Verwendung aller definierten Registrierungen zulassen, indem du registries auf "*" festlegst. Alternativ dazu kannst du die Registrierungen auflisten, die vom Update verwendet werden können. Verwende dazu den Namen der Registrierung, wie im registries-Abschnitt der obersten Ebene der Datei dependabot.yml definiert.

Du verwendest die folgenden Optionen, um Zugriffseinstellungen anzugeben. Registrierungseinstellungen müssen einen type und eine url enthalten, sowie in der Regel eine Kombination aus username und password oder ein token.

Option                BESCHREIBUNG
typeIdentifiziert den Typ der Registrierung. Nachstehend findest du die vollständige Liste der Typen.
urlDie URL, die für den Zugriff auf die Abhängigkeiten in dieser Registrierung verwendet werden soll. Das Protokoll ist optional. Falls nicht angegeben, https:// wird angenommen. Nachstehende Schrägstriche werden von Dependabot nach Bedarf hinzugefügt oder ignoriert.
usernameDer Benutzername, der von Dependabot für den Zugriff auf die Registrierung verwendet wird.
passwordEin Verweis auf einen geheimen Dependabot-Schlüssel, der das Kennwort für den angegebenen Benutzer enthält. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.
keyEin Verweis auf einen geheimen Dependabot-Schlüssel, der einen Zugriffsschlüssel für diese Registrierung enthält. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.
tokenEin Verweis auf einen geheimen Dependabot-Schlüssel, der ein Zugriffstoken für diese Registrierung enthält. Weitere Informationen findest du unter Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.
replaces-baseBei Registrierungen mit type: python-index werden Abhängigkeiten beim booleschen Wert true beispielsweise von pip mithilfe der angegebenen URL anstelle der Basis-URL des Python-Paketindex aufgelöst (Standardwert: https://pypi.org/simple).

Weitere Informationen zu den verfügbaren Konfigurationsoptionen, deren Verwendung und den unterstützten Typen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

Speichern von Anmeldeinformationen für die Verwendung durch Dependabot

Um Dependabot den Zugriff auf die von GitHub unterstützten privaten Registrierungen zu gewähren, speicherst du das Zugriffstoken oder Geheimnis der Registrierung im Geheimnisspeicher für dein Repository oder deine Organisation.

Informationen zu verschlüsselten Geheimnissen für Dependabot

Bei Dependabot-Schlüsseln handelt es sich um verschlüsselte Anmeldeinformationen, die du entweder auf Organisationsebene oder auf Repositoryebene erstellst. Wenn du auf Organisationsebene ein Geheimnis hinzufügst, kannst du angeben, welche Repositorys darauf zugreifen kannst. Du kannst Geheimnisse verwenden, um Dependabot zu erlauben, Abhängigkeiten in privaten Paketregistrierungen zu aktualisieren. Wenn du ein Geheimnis hinzufügst, wird es verschlüsselt, bevor es GitHub erreicht. Daraufhin bleibt es verschlüsselt, bis es von Dependabot für den Zugriff auf eine private Paketregistrierung verwendet wird.

Dependabot-Geheimnisse umfassen auch Geheimnisse, die von den durch Dependabot-Pull-Requests ausgelösten GitHub Actions-Workflows verwendet werden. Dependabot selbst verwendet diese Geheimnisse möglicherweise nicht, aber die Workflows erfordern sie. Weitere Informationen findest du unter Automatisieren von Dependabot mit GitHub Actions.

Nachdem du ein Dependabot-Geheimnis hinzugefügt hast, kannst du darauf wie folgt in der Konfigurationsdatei dependabot.yml verweisen: ${{secrets.NAME}}, wobei „NAME“ der Name ist, den du für das Geheimnis ausgewählt hast. Beispiel:

password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}

Weitere Informationen findest du unter Konfigurationsoptionen für die Datei dependabot.yml.

Benennen deiner Geheimnisse

Der Name eines Dependabot-Geheimnisses:

  • darf nur alphanumerische Zeichen ([A-Z], [0-9]) oder Unterstriche (_) enthalten. Leerzeichen sind nicht zulässig. Wenn du Kleinbuchstaben eingibst, werden diese in Großbuchstaben geändert.
  • darf nicht mit dem GITHUB_-Präfix beginnen.
  • darf nicht mit einer Zahl beginnen.

Hinzufügen eines Repositorygeheimnisses für Dependabot

Um Geheimnisse für das Repository eines persönlichen Kontos zu erstellen, musst Du der Besitzer des Repositorys sein. Um Geheimnisse für ein Organisationsrepository zu erstellen, musst du über admin-Zugriff verfügen.

  1. Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  2. Wähle im Abschnitt Sicherheit der Randleiste Geheimnisse aus, und klicke dann auf Dependabot .

  3. Klicke auf Neues Repositorygeheimnis.

  4. Gib einen Namen für dein Geheimnis in das Eingabefeld Name ein.

  5. Gib den Wert für das Geheimnis ein.

  6. Klicke auf Geheimnis hinzufügen.

    Der Name des Geheimnisses wird auf der Geheimnisseite von Dependabot aufgeführt. Du kannst auf Aktualisieren klicken, um den Wert des Geheimnisses zu ändern. Du kannst auf Entfernen klicken, um das Geheimnis zu löschen.

    Aktualisieren oder Entfernen eines Repositorygeheimnisses

Hinzufügen eines Organisationsgeheimnisses für Dependabot

Beim Erstellen eines Geheimnisses in einer Organisation kannst du eine Richtlinie verwenden, um einzuschränken, welche Repositorys darauf zugreifen können. Du kannst beispielsweise allen Repositorys Zugriff gewähren oder nur private Repositorys oder eine angegebene Liste von Repositorys zulassen.

Für das Erstellen von Geheimnissen auf Organisationsebene benötigst du admin-Zugriff.

  1. Navigiere auf deine GitHub Enterprise Server-Instanz zur Hauptseite der Organisation. 1. Klicke unter deinem Organisationsnamen auf Einstellungen.

    Schaltfläche „Organisationseinstellungen“

  2. Wähle im Abschnitt Sicherheit der Randleiste Geheimnisse aus, und klicke dann auf Dependabot .

  3. Klicke auf Neues Organisationsgeheimnis.

  4. Gib einen Namen für dein Geheimnis in das Eingabefeld Name ein.

  5. Gib den Wert für das Geheimnis ein.

  6. Wähle in der Dropdownliste Repositoryzugriff eine Zugriffsrichtlinie aus.

  7. Wenn du Ausgewählte Repositorys ausgewählt hast:

    • klicke auf .
    • wähle die Repositorys aus, die auf dieses Geheimnis zugreifen können. Auswählen von Repositorys für dieses Geheimnis
    • Klicke auf Auswahl aktualisieren.

  8. Klicke auf Geheimnis hinzufügen.

    Der Name des Geheimnisses wird auf der Dependabot-Geheimnisseite angezeigt. Du kannst auf Aktualisieren klicken, um den Geheimniswert oder die Zugriffsrichtlinie zu ändern. Du kannst auf Entfernen klicken, um das Geheimnis zu löschen.

    Aktualisieren oder Entfernen eines Organisationsgeheimnisses