프라이빗 레지스트리 정보
Dependabot version updates는 종속성을 최신 상태로 유지합니다. Dependabot은(는) 공용 레지스트리에 액세스할 수 있습니다. 또한 프라이빗 및 내부 원본 종속성을 퍼블릭 종속성으로 최신 상태로 유지할 수 있도록 프라이빗 패키지 레지스트리 및 프라이빗 GitHub 리포지토리에 대한 Dependabot version updates 액세스 권한을 부여할 수 있습니다.
대부분의 에코시스템에서 프라이빗 종속성은 일반적으로 프라이빗 패키지 레지스트리에 게시됩니다. 이러한 프라이빗 레지스트리는 공용 레지스트리와 유사하지만 인증이 필요합니다.
프라이빗 레지스트리 구성
dependabot.yml 파일에서 프라이빗 레지스트리에 대한 Dependabot의 액세스를 구성합니다.
최상위 registries 키는 선택 사항이며 인증 세부 정보를 지정합니다. registries를 "*"로 설정하면 정의된 모든 레지스트리가 사용되도록 허용할 수 있습니다. 또는 업데이트에서 사용할 수 있는 레지스트리를 나열할 수 있습니다. 이렇게 하려면 dependabot.yml 파일의 최상위 registries 섹션에 정의된 레지스트리 이름을 사용합니다.
다음 옵션을 사용하여 액세스 설정을 지정합니다. 레지스트리 설정은 type과 url을 포함해야 하며, 일반적으로 username 및 password 조합이나 token을 포함해야 합니다.
| 옵션 | 설명 |
|---|---|
type | 레지스트리의 형식을 식별합니다. 아래의 전체 형식 목록을 참조하세요. |
url | 이 레지스트리의 종속성에 액세스하는 데 사용할 URL입니다. 프로토콜은 선택 사항입니다. 지정되지 않으면 https://가 가정됩니다. Dependabot은 필요에 따라 후행 슬래시를 추가하거나 무시합니다. |
username | Dependabot이 레지스트리에 액세스하는 데 사용하는 사용자 이름입니다. |
password | 지정된 사용자의 암호를 포함하는 Dependabot 비밀에 대한 참조입니다. 자세한 내용은 "Dependabot에 대한 프라이빗 레지스트리에 대한 액세스 구성"을 참조하세요. |
key | 이 레지스트리의 액세스 키가 포함된 Dependabot 비밀에 대한 참조입니다. 자세한 내용은 "Dependabot에 대한 프라이빗 레지스트리에 대한 액세스 구성"을 참조하세요. |
token | 이 레지스트리의 액세스 토큰이 포함된 Dependabot 비밀에 대한 참조입니다. 자세한 내용은 "Dependabot에 대한 프라이빗 레지스트리에 대한 액세스 구성"을 참조하세요. |
replaces-base | 레지스트리 type: python-index의 경우 부울 값이 이면 pip는 truePython 패키지 인덱스의 기본 URL 대신 지정된 URL을 사용하여 종속성을 확인합니다(기본적으로 https://pypi.org/simple). |
사용 가능한 구성 옵션, 사용 방법 및 지원되는 형식에 대한 자세한 내용은 "dependabot.yml 파일에 대한 구성 옵션"을 참조하세요.
Dependabot에서 사용할 자격 증명 저장
Dependabot에서 지원하는 프라이빗 레지스트리에 대한 액세스 권한을 GitHub에 부여하려면 레지스트리의 액세스 토큰 또는 비밀을 리포지토리 또는 organization 대한 비밀 저장소에 저장합니다.
Dependabot에 대한 암호화된 비밀 정보
Dependabot 비밀은 조직 수준 또는 리포지토리 수준에서 만드는 암호화된 자격 증명입니다. 조직 수준에서 비밀을 추가하는 경우 비밀에 액세스할 수 있는 리포지토리를 지정할 수 있습니다. 비밀을 사용하여 Dependabot에서 프라이빗 패키지 레지스트리에 있는 종속성을 업데이트할 수 있습니다. 비밀을 추가하면 GitHub에 도달하기 전에 암호화되며 프라이빗 패키지 레지스트리에 액세스하기 위해 Dependabot에서 사용할 때까지 암호화된 상태로 유지됩니다.
Dependabot 비밀에는 Dependabot 끌어오기 요청에 의해 트리거되는 GitHub Actions 워크플로에서 사용하는 비밀도 포함됩니다. Dependabot 자체는 이러한 비밀을 사용하지 않을 수 있지만 워크플로에는 이러한 비밀이 필요합니다. 자세한 내용은 "GitHub Actions를 통한 Dependabot 자동화"을 참조하세요.
Dependabot 비밀을 추가한 후 dependabot.yml 구성 파일(예: ${{secrets.NAME}})에서 참조할 수 있습니다. 여기서 “NAME”은 비밀에 대해 선택한 이름입니다. 예를 들면 다음과 같습니다.
password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}
자세한 내용은 "dependabot.yml 파일에 대한 구성 옵션"을 참조하세요.
비밀 이름 지정
Dependabot 비밀의 이름입니다.
- 영숫자 문자(
[A-Z],[0-9]) 또는 밑줄(_)만 포함할 수 있습니다. 공백은 허용되지 않습니다. 소문자를 입력하면 대문자로 변경됩니다. GITHUB_접두사로 시작하지 않아야 합니다.- 숫자로 시작할 수 없습니다.
Dependabot에 대한 리포지토리 비밀 추가
개인용 계정 리포지토리에 대한 비밀을 만들려면 리포지토리 소유자여야 합니다. 조직 리포지토리에 대한 비밀을 만들려면 admin 액세스 권한이 있어야 합니다.
-
GitHub Enterprise Server 인스턴스에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 설정을 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
-
사이드바의 "보안" 섹션에서 비밀을 선택하고 를 클릭한 다음 Dependabot 을 클릭합니다.
-
새 리포지토리 비밀을 선택합니다.
-
이름 입력 상자에 비밀의 이름을 입력합니다.
-
비밀 값을 입력합니다.
-
비밀 추가를 클릭합니다.
비밀의 이름은 Dependabot 비밀 페이지에 나열됩니다. 업데이트를 클릭하여 비밀 값을 변경할 수 있습니다. 제거를 클릭하여 비밀을 삭제할 수 있습니다.
Dependabot에 대한 조직 암호 추가
조직에서 비밀을 만들 때 정책을 사용하여 해당 비밀에 액세스할 수 있는 리포지토리를 제한할 수 있습니다. 예를 들어 모든 리포지토리에 대한 액세스 권한을 부여하거나 프라이빗 리포지토리 또는 지정된 리포지토리 목록에 대해서만 액세스를 제한할 수 있습니다.
조직 수준에서 비밀을 만들려면 admin 액세스 권한이 있어야 합니다.
-
GitHub Enterprise Server 인스턴스에서 조직의 기본 페이지로 이동합니다. 1. organization 이름 아래에서 설정을 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
-
사이드바의 "보안" 섹션에서 비밀을 선택하고 를 클릭한 다음 Dependabot 을 클릭합니다.
-
새 조직 비밀을 클릭합니다.
-
이름 입력 상자에 비밀의 이름을 입력합니다.
-
값 필드에 비밀 값을 입력합니다.
-
리포지토리 액세스 드롭다운 목록에서 액세스 정책을 선택합니다.
-
선택한 리포지토리를 선택한 경우:
- 를 클릭합니다.
- 대화 상자에서 이 비밀에 액세스할 수 있는 리포지토리를 선택합니다.
- 선택 항목 업데이트를 클릭합니다.
-
비밀 추가를 클릭합니다.
비밀의 이름은 Dependabot 비밀 페이지에 나열됩니다. 업데이트를 클릭하여 비밀 값 또는 해당 액세스 정책을 변경할 수 있습니다. 제거를 클릭하여 비밀을 삭제할 수 있습니다.
