Skip to main content

Administrar los secretos cifrados para el Dependabot

Puedes almacenar la información sensible, como las contraseñas y tokens de acceso, como secretos cifrados y luego referenciarlos en el archivo de configuración del Dependabot.

Acerca de los secretos cifrados para Dependabot

Los secretos del Dependabot son credenciales cifradas que creas ya sea a nivel de la organización o del repositorio. Cuando agregas un secreto a nivel de la organización, puedes especificar qué repositorios pueden acceder a éste. Puedes utilizar secretos para permitir que el Dependabot actualice las dependencias que se ubiquen en los registros del paquete. Cuando agregas un secreto que está cifrado antes de llegar a GitHub y permanece cifrado hasta que lo utiliza el Dependabot para acceder a un registro de paquetes privado.

Después de agregar un secreto de Dependabot, puede hacer referencia a él en el archivo de configuración dependabot.yml como este: ${{secrets.NAME}}, donde "NAME" es el nombre que ha elegido para el secreto. Por ejemplo:

password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}

Para más información, vea "Opciones de configuración para el archivo dependabot.yml".

Nombrar tus secretos

El nombre de un secreto del Dependabot:

  • Solo puede contener caracteres alfanuméricos ([A-Z] o [0-9]) o caracteres de subrayado (_). No se permiten espacios. Si escribes en minúscula, se cambiará todo a mayúsculas.
  • No debe comenzar con el prefijo GITHUB_.
  • No puede iniciar con un número.

Agregar un secreto de repositorio para el Dependabot

Para crear secretos para un repositorio de una cuenta personal, deberás ser el propietario del repositorio. A fin de crear secretos para un repositorio de la organización, debe tener acceso admin.

  1. En GitHub.com, vaya a la página principal del repositorio. 1. Debajo del nombre del repositorio, haz clic en Configuración. Botón de configuración del repositorio

  2. In the left sidebar, click Secrets.

  3. In the "Security" section of the sidebar, select Secrets, then click Dependabot.

  4. Haga clic en New repository secret (Nuevo secreto de repositorio).

  5. Escriba un nombre para su secreto en el cuadro de entrada Name.

  6. Ingresa el valor de tu secreto.

  7. Haga clic en Add Secret.

    El nombre del secreto se lista en la página de secretos del Dependabot. Puede hacer clic en Update (Actualizar) para cambiar el valor del secreto. Puede hacer clic en Remove (Quitar) para eliminar el secreto.

    Actualizar o eliminar un secreto del repositorio

Agregar un secreto de organización para el Dependabot

Cuando creas un secreto en una organización, puedes utilizar una política para limitar el acceso de los repositorios a este. Por ejemplo, puedes otorgar acceso a todos los repositorios, o limitarlo a solo los repositorios privados o a una lista específica de estos.

Para crear secretos en el nivel de la organización, debe tener acceso admin.

  1. En GitHub.com, vaya hasta la página principal de la organización. 1. Debajo del nombre de la organización, haga clic en Settings. Botón de configuración de la organización

  2. In the left sidebar, click Secrets.

  3. In the "Security" section of the sidebar, select Secrets, then click Dependabot.

  4. Haga clic en New organization secret (Nuevo secreto de organización).

  5. Escriba un nombre para su secreto en el cuadro de entrada Name.

  6. Introduzca el valor del secreto en Value.

  7. En la lista desplegable Repository access (Acceso al repositorio), elija una directiva de acceso.

  8. Si ha elegido Selected repositories (Repositorios seleccionados):

    • Haga clic en .
    • Elige los repositorios que pueden acceder a este secreto. Selección de los repositorios para este secreto
    • Haga clic en Update selection (Actualizar selección).
  9. Haga clic en Add Secret.

    El nombre del secreto se lista en la página de secretos del Dependabot. Puede hacer clic en Update (Actualizar) para cambiar el valor del secreto o su directiva de acceso. Puede hacer clic en Remove (Quitar) para eliminar el secreto.

    Actualiza o elimina un secreto de organización

Agregar al Dependabot a tu lista de direcciones IP permitidas de tus registros

Si el registro privado se configura con una lista de direcciones IP permitidas, puede encontrar las direcciones IP que utiliza Dependabot para acceder al registro en el punto de conexión de meta API, en la clave dependabot. Para obtener más información, vea "Meta".