Skip to main content

Dependabot に対する暗号化されたシークレットを管理する

パスワードアクセストークンなどの機密情報を、暗号化されたシークレットとして保存し、Dependabot 設定ファイルで参照することができます。

Dependabot に対する暗号化されたシークレットについて

Dependabot シークレットとは、Organization レベルまたはリポジトリレベルで作成する、暗号化された資格情報のことです。 シークレットを Organization レベルで追加した場合、そのシークレットにどのリポジトリがアクセスできるかを指定できます。 シークレットを使用して、プライベートパッケージレジストリにある依存関係を Dependabot が更新できるようにすることができます。 シークレットを追加すると、それが GitHub に届く前に暗号化され、それを Dependabot がプライベートパッケージレジストリにアクセスするために使用するまで暗号化されたままとなります。

Dependabot シークレットを追加後は、dependabot.yml 設定ファイルで ${{secrets.NAME}} のように参照できます。「NAME」は、シークレットに付けた名前としてください。 たとえば次のような点です。

password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}

詳細については、「dependabot.yml ファイルの構成オプション」を参照してください。

シークレットに名前を付ける

Dependabot シークレットの名前には、以下の制限があります。

  • 英数字 ([A-Z][0-9]) またはアンダースコア (_) のみを含めることができます。 スペースは使用できません。 小文字を入力すると、大文字に変換されます。
  • GITHUB_ プレフィックスで始めることはできません。
  • 最初を数字にすることはできません。

Dependabot にリポジトリシークレットを追加する

個人アカウントのリポジトリにシークレットを作成するには、そのリポジトリのオーナーでなければなりません。 組織リポジトリのシークレットを作成するには、admin アクセス権が必要です。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  2. In the left sidebar, click Secrets.

  3. In the "Security" section of the sidebar, select Secrets, then click Dependabot.

  4. [新しいリポジトリシークレット] をクリックします。

  5. [名前] 入力ボックスにシークレットの名前を入力します。

  6. シークレットの値を入力します。

  7. [シークレットの追加] をクリックします。

    シークレットの名前が、Dependabot シークレットのページに一覧表示されます。 [更新] をクリックしてシークレットの値を変更できます。 [削除] をクリックしてシークレットを削除できます。

    リポジトリシークレットの更新または削除

Dependabot に Organization シークレットを追加する

Organizationでシークレットを作成する場合、ポリシーを使用して、そのシークレットにアクセスできるリポジトリを制限できます。 たとえば、すべてのリポジトリにアクセスを許可したり、プライベート リポジトリまたは指定したリポジトリ のリストのみにアクセスを制限したりできます。

組織レベルでシークレットを作成するには、admin アクセス権が必要です。

  1. GitHub.com で、Organization のメイン ページへ移動します。 1. Organization 名の下で、 [設定] をクリックします。 Organization の設定ボタン

  2. In the left sidebar, click Secrets.

  3. In the "Security" section of the sidebar, select Secrets, then click Dependabot.

  4. [新しい組織シークレット] をクリックします。

  5. [名前] 入力ボックスにシークレットの名前を入力します。

  6. シークレットの [値] を入力します。

  7. [リポジトリアクセス] ドロップダウンリストから、アクセスポリシーを選びます。

  8. [選択したリポジトリ] を選択した場合は、次のようにします。

    • をクリックします。
    • このシークレットにアクセスできるリポジトリを選択します。 シークレットに対するリポジトリの選択
    • [選択の更新] をクリックします。
  9. [シークレットの追加] をクリックします。

    シークレットの名前が、Dependabot シークレットのページに一覧表示されます。 [更新] をクリックしてシークレット値またはそのアクセスポリシーを変更できます。 [削除] をクリックしてシークレットを削除できます。

    Organization シークレットの更新または削除

レジストリのIP許可リストへのDependabotの追加

プライベートレジストリが IP 許可リストとともに設定されているなら、Dependabotがレジストリへのアクセスに使う IP アドレスは、メタ API エンドポイントで dependabot の下にあります。 詳細については、「メタ」を参照してください。