Dependabot に対する暗号化されたシークレットを管理する

パスワードアクセストークンなどの機密情報を、暗号化されたシークレットとして保存し、Dependabot 設定ファイルで参照することができます。

Dependabot に対する暗号化されたシークレットについて

Dependabot シークレットとは、Organization レベルまたはリポジトリレベルで作成する、暗号化された資格情報のことです。 シークレットを Organization レベルで追加した場合、そのシークレットにどのリポジトリがアクセスできるかを指定できます。 シークレットを使用して、プライベートパッケージレジストリにある依存関係を Dependabot が更新できるようにすることができます。 シークレットを追加すると、それが GitHub に届く前に暗号化され、それを Dependabot がプライベートパッケージレジストリにアクセスするために使用するまで暗号化されたままとなります。

Dependabot シークレットを追加後は、dependabot.yml 設定ファイルで ${{secrets.NAME}} のように参照できます。「NAME」は、シークレットに付けた名前としてください。 例:

password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}

詳しい情報については、「依存関係の更新の設定オプション 」を参照してください。

シークレットに名前を付ける

Dependabot シークレットの名前には、以下の制限があります。

  • 英数字 ([A-Z], [0-9])、(_) のみ含めることができます。 スペースは使用できません。 小文字を入力すると、大文字に変換されます。
  • 名前の最初を GITHUB_ プレフィックスにすることはできません。
  • 最初を数字にすることはできません。

Dependabot にリポジトリシークレットを追加する

ユーザアカウントのリポジトリにシークレットを作成するには、そのリポジトリのオーナーでなければなりません。 Organizationのリポジトリにシークレットを作成するには、管理アクセス権を持っていなければなりません。

  1. GitHubで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Settings(設定)をクリックしてください。 リポジトリの設定ボタン

  3. 左サイドバーで [Secrets] をクリックします。

  4. サイドバーでDependabotをクリックしてください。 Dependabotシークレットサイドバーオプション

  5. New repository secret(新しいリポジトリのシークレット)をクリックしてください。

  6. [Name(名前)] 入力ボックスにシークレットの名前を入力します。

  7. シークレットの値を入力します。

  8. [Add secret(シークレットの追加)] をクリックします。

    シークレットの名前が、Dependabot シークレットのページに一覧表示されます。 [Update] をクリックすると、シークレットの値を変更できます。 [Remove] をクリックすると、シークレットを削除できます。

    リポジトリシークレットの更新または削除

Dependabot に Organization シークレットを追加する

Organizationでシークレットを作成する場合、ポリシーを使用して、そのシークレットにアクセスできるリポジトリを制限できます。 たとえば、すべてのリポジトリにアクセスを許可したり、プライベート リポジトリまたは指定したリポジトリ のリストのみにアクセスを制限したりできます。

Organizationのレベルでシークレットを作成するには、管理アクセス権を持っていなければなりません。

  1. GitHubで、Organizationのメインページにアクセスしてください。

  2. Organization名の下で、Settings(設定)をクリックしてください。 Organizationの設定ボタン

  3. 左サイドバーで [Secrets] をクリックします。

  4. サイドバーでDependabotをクリックしてください。 Dependabotシークレットサイドバーオプション

  5. New organization secret(新しいOrganizationのシークレット)をクリックしてください。

  6. [Name(名前)] 入力ボックスにシークレットの名前を入力します。

  7. シークレットの Value(値) を入力します。

  8. [ Repository access(リポジトリアクセス) ドロップダウン リストから、アクセス ポリシーを選択します。

  9. [Selected repositories] を選択した場合、以下の手順に従います。

    • をクリックします。
    • このシークレットにアクセスできるリポジトリを選択します。 シークレットに対するリポジトリの選択
    • [Update selection] をクリックします。
  10. [Add secret(シークレットの追加)] をクリックします。

    シークレットの名前が、Dependabot シークレットのページに一覧表示されます。 [Update] をクリックすると、シークレットの値やアクセスポリシーを変更できます。 [Remove] をクリックすると、シークレットを削除できます。

    Organization シークレットの更新または削除

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡