Administrar los secretos cifrados para el Dependabot

Puedes almacenar la información sensible, como las contraseñas y tokens de acceso, como secretos cifrados y luego referenciarlos en el archivo de configuración del Dependabot.

Acerca de los secretos cifrados para los Dependabot

Los secretos del Dependabot son credenciales cifradas que creas ya sea a nivel de la organización o del repositorio. Cuando agregas un secreto a nivel de la organización, puedes especificar qué repositorios pueden acceder a éste. Puedes utilizar secretos para permitir que el Dependabot actualice las dependencias que se ubiquen en los registros del paquete. Cuando agregas un secreto que está cifrado antes de llegar a GitHub y permanece cifrado hasta que lo utiliza el Dependabot para acceder a un registro de paquetes privado.

Después de que agregas un secreto del Dependabot, puedes referenciarlo en el archivo de configuración dependabot.yml de esta forma: ${{secrets.NAME}}, en donde "NAME" es el nombre que eliges para el secreto. Por ejemplo:

password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}

Para obtener más información, consulta la sección "Opciones de configuración para las actualizaciones de dependencias".

Nombrar tus secretos

El nombre de un secreto del Dependabot:

  • Solo puede contener caracteres alfanuméricos ([A-Z], [0-9]) o guiones bajos (_). No se permiten espacios. Si escribes en minúscula, se cambiará todo a mayúsculas.
  • No puede iniciar con el prefijo GITHUB_.
  • No puede iniciar con un número.

Agregar un secreto de repositorio para el Dependabot

Para crear secretos para un repositorio de una cuenta de usuario, deberás ser el propietario de éste. Para crear secretos para un repositorio de una organización, deberás tener acceso de administrador.

  1. En GitHub, visita la página principal del repositorio.

  2. Debajo de tu nombre de repositorio, da clic en Configuración. Botón de configuración del repositorio

  3. En la barra lateral izquierda, haz clic en Secrets (Secretos).

  4. En la barra lateral, haz clic en Dependabot. Opción de la barra lateral de secretos del Dependabot

  5. Da clic en Secreto de repositorio nuevo.

  6. Teclea un nombre para tu secreto en el cuadro de entrada Name.

  7. Ingresa el valor de tu secreto.

  8. Haz clic en Agregar secreto (Agregar secreto).

    El nombre del secreto se lista en la página de secretos del Dependabot. Puedes hacer clic en Actualizar para cambiar el valor del secreto. Puedes hacer clic en Eliminar para borrar el secreto.

    Actualizar o eliminar un secreto del repositorio

Agregar un secreto de organización para el Dependabot

Cuando creas un secreto en una organización, puedes utilizar una política para limitar el acceso de los repositorios a este. Por ejemplo, puedes otorgar acceso a todos los repositorios, o limitarlo a solo los repositorios privados o a una lista específica de estos.

Para crear secretos a nivel organizacional, deberás tener acceso de administrador.

  1. En GitHub, navega hasta la página principal de la organización.

  2. Debajo del nombre de tu organización, da clic en Ajustes.

    Botón de configuración de organización

  3. En la barra lateral izquierda, haz clic en Secrets (Secretos).

  4. En la barra lateral, haz clic en Dependabot. Opción de la barra lateral de secretos del Dependabot

  5. Da clic en Secreto de organización nuevo.

  6. Teclea un nombre para tu secreto en el cuadro de entrada Name.

  7. Ingresa el Valor para tu secreto.

  8. Desde la lista desplegable Acceso de los repositorios, elige una política de acceso.

  9. Si eliges Repositorios seleccionados:

    • Da clic en .
    • Elige los repositorios que pueden acceder a este secreto. Selecciona los repositorios para este secreto
    • Haz clic en Actualizar selección.
  10. Haz clic en Agregar secreto (Agregar secreto).

    El nombre del secreto se lista en la página de secretos del Dependabot. Puedes hacer clic en Actualizar para cambiar el valor del secreto o su política de acceso. Puedes hacer clic en Eliminar para borrar el secreto.

    Actualiza o elimina un secreto de organización

Agregar al Dependabot a tu lista de direcciones IP permitidas de tus registros

Si tu registro privado se configura con una lista de direcciones IP permitidas, puedes encontrar las direcciones IP que utiliza el Dependabot para acceder al registro en la terminal API del meta, bajo la clave dependabot. Para obtener más información, consulta la sección "Meta".

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.