Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Удаление доступа Dependabot к общедоступным реестрам

В этой статье

Примеры настройки Dependabot для доступа только к частным реестрам путем удаления вызовов общедоступных реестров.

Кто может использовать эту функцию

People with write permissions to a repository can configure Dependabot for the repository.

Сведения о настройке доступа Dependabot только к частным реестрам

Dependabot может получать доступ к общедоступным реестрам, а также настроить Dependabot для доступа к частным реестрам. Дополнительные сведения о поддержке и настройке частного реестра см. в разделе Настройка доступа к частным реестрам для Dependabot.

Вы можете настроить Dependabot для доступа только к частным реестрам, удалив вызовы общедоступных реестров. Это можно настроить только для экосистем, перечисленных в этой статье.

Средство увязки программ в пакеты

Чтобы настроить экосистему Bundler только для доступа к частным реестрам, можно задать replaces-base в файле как dependabot.yml true . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Экосистема Bundler также требует Gemfile , чтобы файл с URL-адресом частного реестра был возвращен в репозиторий.

# Example Gemfile

 source "https://private_registry_url"

Docker

Чтобы настроить экосистему Docker только для доступа к частным реестрам, можно использовать эти методы конфигурации.

Вариант 1

Определите конфигурацию частного реестра в dependabot.yml файле без replaces-base. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание. Удалите replaces-base: true из файла конфигурации.

version: 2
registries:
  azuretestregistry: # Define access for a private registry
   type: docker-registry
   url: firewallregistrydep.azurecr.io
   username: firewallregistrydep
   password: ${{ secrets.AZUREHUB_PASSWORD }}

Dockerfile В файле добавьте имя образа в формате IMAGE[:TAG], где IMAGE состоит из имени пользователя и имени репозитория.

 FROM firewallregistrydep.azurecr.io/myreg/ubuntu:18.04

Вариант 2

Задайте значение replaces-base в true dependabot.yml файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml. Реестр, настроенный с помощью , replaces-base можно использовать в качестве зеркального или извлекаемого кэша. Дополнительные сведения см. в разделе Реестр как кэш извлечения документации по Docker.

Gradle

Чтобы настроить экосистему Gradle только для доступа к частным реестрам, можно использовать эти методы конфигурации.

Определите конфигурацию частного реестра в файле dependabot.yml. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание. Удалите replaces-base: true из файла конфигурации.

Кроме того, необходимо указать URL-адрес частного реестра в repositories разделе build.gradle файла.

# Example build.gradle file

repositories {
    maven {
        url "https://private_registry_url"
    }
}

Maven

Чтобы настроить экосистему Maven только для доступа к частным реестрам, можно использовать эти методы конфигурации.

Вариант 1

Задайте значение replaces-base в true dependabot.yml файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Вариант 2

Используйте в файле только URL-адрес частного pom.xml реестра.

<project>
...
 <repositories>
  <repository>
    <id>central</id>
    <name>your custom repo</name>
    <url>https://private_registry_url</url>
 </repository>
...
</project>

Узел

npm

Чтобы настроить экосистему npm только для доступа к частным реестрам, можно использовать эти методы конфигурации.

Вариант 1

Определите конфигурацию частного dependabot.yml реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание. Удалите replaces-base: true из файла конфигурации.

Экосистема npm также требует .npmrc , чтобы файл с URL-адресом частного реестра был возвращен в репозиторий.

 registry=https://private_registry_url

Вариант 2

Если в файле не определен глобальный .npmrc реестр, можно задать replaces-base в файле как true dependabot.yml . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание: Для зависимостей с заданной областью (@my-org/my-dep) Dependabot требует, чтобы частный реестр был определен в файле проекта .npmrc . Чтобы определить частные реестры для отдельных областей, используйте .@myscope:registry=https://private_registry_url

Yarn

Частные реестры Yarn Classic и Yarn Berry поддерживаются Dependabot, но Dependabot требует разной конфигурации для каждой экосистемы для доступа только к частным реестрам.

Yarn Classic

Чтобы настроить экосистему Yarn Classic только для доступа к частным реестрам, можно использовать эти методы конфигурации.

Вариант 1

Определите конфигурацию частного dependabot.yml реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание: Удалите replaces-base: true из файла конфигурации.

Чтобы убедиться, что частный реестр указан в качестве источника зависимостей в файле проекта yarn.lock , выполните команду yarn install на компьютере с доступом к частному реестру. Yarn должен обновить поле, resolved включив URL-адрес частного реестра.

encoding@^0.1.11:
  version "0.1.13"
  resolved "https://private_registry_url/encoding/-/encoding-0.1.13.tgz#56574afdd791f54a8e9b2785c0582a2d26210fa9"
  integrity sha512-ETBauow1T35Y/WZMkio9jiM0Z5xjHHmJ4XmjZOq1l/dXz3lr2sRn87nJy20RupqSh1F2m3HHPSp8ShIPQJrJ3A==
  dependencies:
    iconv-lite "^0.6.2"

Вариант 2

Если в yarn.lock файле не указан частный реестр в качестве источника зависимостей, вы можете настроить Yarn Classic в соответствии с обычными инструкциями диспетчера пакетов:

  1. Определение конфигурации частного реестра в dependabot.yml файле
  2. Добавьте реестр .yarnrc в файл в корневом каталоге проекта с помощью реестра разделов. Кроме того, можно запустить yarn config set registry <private registry URL>. 
    registry https://private_registry_url

Вариант 3

Если в файле не определен глобальный .yarnrc реестр, можно задать replaces-base в файле как true dependabot.yml . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание: Для зависимостей с заданной областью (@my-org/my-dep) Dependabot требует, чтобы частный реестр был определен в файле проекта .npmrc . Чтобы определить частные реестры для отдельных областей, используйте .@myscope:registry=https://private_registry_url

Нить Берри

Чтобы настроить экосистему Yarn Berry только для доступа к частным реестрам, можно использовать эти методы конфигурации.

Вариант 1

Определите конфигурацию частного dependabot.yml реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание: Удалите replaces-base: true из файла конфигурации.

Чтобы убедиться, что частный реестр указан в качестве источника зависимостей в файле проекта yarn.lock , выполните команду yarn install на компьютере с доступом к частному реестру. Yarn должен обновить поле, resolved включив URL-адрес частного реестра.

encoding@^0.1.11:
  version "0.1.13"
  resolved "https://private_registry_url/encoding/-/encoding-0.1.13.tgz#56574afdd791f54a8e9b2785c0582a2d26210fa9"
  integrity sha512-ETBauow1T35Y/WZMkio9jiM0Z5xjHHmJ4XmjZOq1l/dXz3lr2sRn87nJy20RupqSh1F2m3HHPSp8ShIPQJrJ3A==
  dependencies:
    iconv-lite "^0.6.2"

Вариант 2

Если в yarn.lock файле не указан частный реестр в качестве источника зависимостей, вы можете настроить Yarn Berry в соответствии с обычными инструкциями диспетчера пакетов:

  1. Определение конфигурации частного реестра в dependabot.yml файле
  2. Добавьте реестр .yarnrc.yml в файл в корневом каталоге проекта с помощью ключа npmRegistryServer. Кроме того, можно запустить yarn config set npmRegistryServer <private registry URL>. 
    npmRegistryServer: "https://private_registry_url"

Примечание: Для зависимостей с заданной областью (@my-org/my-dep) Dependabot требует, чтобы частный реестр был определен в файле проекта .yarnrc . Чтобы определить частные реестры для отдельных областей, используйте ."@myscope:registry" "https://private_registry_url"

Nuget

Чтобы разрешить экосистеме NuGet доступ только к частным реестрам dependabot.yml , можно настроить файл . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Экосистема NuGet также требует nuget.config , чтобы файл был возвращен в репозиторий с тегом < clear /> в <packageSources> разделе или ключом nuget.org true в disabledPackageSources разделе nuget.config файла.

Это пример тега < clear /> в packageSources разделе nuget.config.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
 <packageSources>
   < clear />
   <add key="example-nuget" value="https://private_registry_url/nuget/example-nuget/index.json" />
 </packageSources>
</configuration>

Это пример добавления ключа nuget.org в качестве значения true в disabledPackageSources раздел nuget.config

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <packageSources>
    <add key="example-nuget" value="https://private_registry_url/nuget/example-nuget/index.json" />
  </packageSources>
  <disabledPackageSources>
    <add key="nuget.org" value="true" />
  </disabledPackageSources>
</configuration>

Python

Pip, Pip-compile, Pipenv и Poetry — это четыре диспетчера пакетов, которые в настоящее время поддерживает экосистема Python.

PIP

Чтобы настроить экосистему Pip только для доступа к частным реестрам, можно использовать эти методы конфигурации.

Вариант 1

Определите конфигурацию частного dependabot.yml реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание: Удалите replaces-base: true из файла конфигурации.

Добавьте URL-адрес частного pip.conf реестра в [global] раздел файла и проверьте файл в репозитории.

[global]
timeout = 60
index-url = https://private_registry_url

Вариант 2

Задайте значение replaces-base в true dependabot.yml файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Pip-compile

Чтобы настроить экосистему Pip-compile для доступа только к частным реестрам, можно использовать эти методы конфигурации.

Вариант 1

Задайте значение replaces-base в true dependabot.yml файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Вариант 2

Определите конфигурацию частного dependabot.yml реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание: Удалите replaces-base: true из файла конфигурации.

Добавьте URL-адрес частного реестра в requirements.txt файл и проверьте файл в репозитории.

--index-url https://private_registry_url

Pipenv

Чтобы настроить Pipenv только для доступа к частным реестрам, удалите replaces-base из dependabot.yml файла . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Примечание: Удалите replaces-base: true из файла конфигурации.

Добавьте URL-адрес частного Pipfile реестра в [[source]] раздел файла и проверьте файл в репозитории.

[[source]]
url = "https://private_registry_url"
verify_ssl = true
name = "pypi"

Poetry

Чтобы настроить Poetry для доступа только к частным реестрам, задайте в replaces-base файле значение true dependabot.yml . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.

Добавьте URL-адрес частного pyproject.toml реестра в [[tool.poetry.source]] раздел файла и проверьте его в репозитории.

[[tool.poetry.source]]
name = "private"
url = "https://private_registry_url"
default = true