Skip to main content
ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。
Enterprise Cloud
日本語
サインアップ
 
Code security
Enterprise Cloud
日本語
サインアップ

 

Dependabot に対する暗号化されたシークレットを管理する

ここには以下の内容があります:

パスワードアクセストークンなどの機密情報を、暗号化されたシークレットとして保存し、Dependabot 設定ファイルで参照することができます。

Dependabot に対する暗号化されたシークレットについて

Dependabot シークレットとは、Organization レベルまたはリポジトリレベルで作成する、暗号化された資格情報のことです。 シークレットを Organization レベルで追加した場合、そのシークレットにどのリポジトリがアクセスできるかを指定できます。 シークレットを使用して、プライベートパッケージレジストリにある依存関係を Dependabot が更新できるようにすることができます。 シークレットを追加すると、それが GitHub に届く前に暗号化され、それを Dependabot がプライベートパッケージレジストリにアクセスするために使用するまで暗号化されたままとなります。

Dependabot シークレットを追加後は、dependabot.yml 設定ファイルで ${{secrets.NAME}} のように参照できます。「NAME」は、シークレットに付けた名前としてください。 例:

password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}

詳しい情報については「dependabot.ymlファイルの設定オプション」を参照してください。

シークレットに名前を付ける

Dependabot シークレットの名前には、以下の制限があります。

  • 英数字 ([A-Z], [0-9])、(_) のみ含めることができます。 スペースは使用できません。 小文字を入力すると、大文字に変換されます。
  • 名前の最初を GITHUB_ プレフィックスにすることはできません。
  • 最初を数字にすることはできません。

Dependabot にリポジトリシークレットを追加する

To create secrets for a personal account repository, you must be the repository owner. Organizationのリポジトリにシークレットを作成するには、管理アクセス権を持っていなければなりません。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Settings(設定)をクリックしてください。 リポジトリの設定ボタン

  3. In the left sidebar, click Secrets.

  4. In the "Security" section of the sidebar, select Secrets, then click Dependabot.

  5. New repository secret(新しいリポジトリのシークレット)をクリックしてください。

  6. [Name(名前)] 入力ボックスにシークレットの名前を入力します。

  7. シークレットの値を入力します。

  8. [Add secret(シークレットの追加)] をクリックします。

    シークレットの名前が、Dependabot シークレットのページに一覧表示されます。 [Update] をクリックすると、シークレットの値を変更できます。 [Remove] をクリックすると、シークレットを削除できます。

    リポジトリシークレットの更新または削除

Dependabot に Organization シークレットを追加する

Organizationでシークレットを作成する場合、ポリシーを使用して、そのシークレットにアクセスできるリポジトリを制限できます。 たとえば、すべてのリポジトリにアクセスを許可したり、プライベート リポジトリまたは指定したリポジトリ のリストのみにアクセスを制限したりできます。

Organizationのレベルでシークレットを作成するには、管理アクセス権を持っていなければなりません。

  1. GitHub.comで、Organizationのメインページにアクセスしてください。
  2. Organization 名の下で、クリックします Settings. Organizationの設定ボタン

  1. In the left sidebar, click Secrets.

  2. In the "Security" section of the sidebar, select Secrets, then click Dependabot.

  3. New organization secret(新しいOrganizationのシークレット)をクリックしてください。

  4. [Name(名前)] 入力ボックスにシークレットの名前を入力します。

  5. シークレットの Value(値) を入力します。

  6. [ Repository access(リポジトリアクセス) ドロップダウン リストから、アクセス ポリシーを選択します。

  7. [Selected repositories] を選択した場合、以下の手順に従います。

    • をクリックします。
    • このシークレットにアクセスできるリポジトリを選択します。 シークレットに対するリポジトリの選択
    • [Update selection] をクリックします。

  8. [Add secret(シークレットの追加)] をクリックします。

    シークレットの名前が、Dependabot シークレットのページに一覧表示されます。 [Update] をクリックすると、シークレットの値やアクセスポリシーを変更できます。 [Remove] をクリックすると、シークレットを削除できます。

    Organization シークレットの更新または削除

レジストリのIP許可リストへのDependabotの追加

プライベートレジストリがIP許可リストとともに設定されているなら、Dependabotがレジストリへのアクセスに使うIPアドレスは、メタAPIエンドポイントでdependabotの下にあります。 詳しい情報については、「メタ」を参照してください。