Сведения о настройке доступа Dependabot только к частным реестрам
Dependabot может получать доступ к общедоступным реестрам, а также настроить Dependabot для доступа к частным реестрам. Дополнительные сведения о поддержке и настройке частного реестра см. в разделе Настройка доступа к частным реестрам для Dependabot.
Вы можете настроить Dependabot для доступа только к частным реестрам, удалив вызовы общедоступных реестров. Это можно настроить только для экосистем, перечисленных в этой статье.
Средство увязки программ в пакеты
Чтобы настроить экосистему Bundler только для доступа к частным реестрам, можно задать replaces-base
в файле как dependabot.yml
true
. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Экосистема Bundler также требует Gemfile
, чтобы файл с URL-адресом частного реестра был возвращен в репозиторий.
# Example Gemfile
source "https://private_registry_url"
Docker
Чтобы настроить экосистему Docker только для доступа к частным реестрам, можно использовать эти методы конфигурации.
Вариант 1
Определите конфигурацию частного реестра в dependabot.yml
файле без replaces-base
. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание. Удалите replaces-base: true
из файла конфигурации.
version: 2
registries:
azuretestregistry: # Define access for a private registry
type: docker-registry
url: firewallregistrydep.azurecr.io
username: firewallregistrydep
password: ${{ secrets.AZUREHUB_PASSWORD }}
Dockerfile
В файле добавьте имя образа в формате IMAGE[:TAG]
, где IMAGE
состоит из имени пользователя и имени репозитория.
FROM firewallregistrydep.azurecr.io/myreg/ubuntu:18.04
Вариант 2
Задайте значение replaces-base
в true
dependabot.yml
файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml. Реестр, настроенный с помощью , replaces-base
можно использовать в качестве зеркального или извлекаемого кэша. Дополнительные сведения см. в разделе Реестр как кэш извлечения документации по Docker.
Gradle
Чтобы настроить экосистему Gradle только для доступа к частным реестрам, можно использовать эти методы конфигурации.
Определите конфигурацию частного реестра в файле dependabot.yml. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание. Удалите replaces-base: true из файла конфигурации.
Кроме того, необходимо указать URL-адрес частного реестра в repositories
разделе build.gradle
файла.
# Example build.gradle file
repositories {
maven {
url "https://private_registry_url"
}
}
Maven
Чтобы настроить экосистему Maven только для доступа к частным реестрам, можно использовать эти методы конфигурации.
Вариант 1
Задайте значение replaces-base
в true
dependabot.yml
файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Вариант 2
Используйте в файле только URL-адрес частного pom.xml
реестра.
<project>
...
<repositories>
<repository>
<id>central</id>
<name>your custom repo</name>
<url>https://private_registry_url</url>
</repository>
...
</project>
Узел
npm
Чтобы настроить экосистему npm только для доступа к частным реестрам, можно использовать эти методы конфигурации.
Вариант 1
Определите конфигурацию частного dependabot.yml
реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание. Удалите replaces-base: true
из файла конфигурации.
Экосистема npm также требует .npmrc
, чтобы файл с URL-адресом частного реестра был возвращен в репозиторий.
registry=https://private_registry_url
Вариант 2
Если в файле не определен глобальный .npmrc
реестр, можно задать replaces-base
в файле как true
dependabot.yml
. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание: Для зависимостей с заданной областью (@my-org/my-dep
) Dependabot требует, чтобы частный реестр был определен в файле проекта .npmrc
. Чтобы определить частные реестры для отдельных областей, используйте .@myscope:registry=https://private_registry_url
Yarn
Частные реестры Yarn Classic и Yarn Berry поддерживаются Dependabot, но Dependabot требует разной конфигурации для каждой экосистемы для доступа только к частным реестрам.
Yarn Classic
Чтобы настроить экосистему Yarn Classic только для доступа к частным реестрам, можно использовать эти методы конфигурации.
Вариант 1
Определите конфигурацию частного dependabot.yml
реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание: Удалите replaces-base: true
из файла конфигурации.
Чтобы убедиться, что частный реестр указан в качестве источника зависимостей в файле проекта yarn.lock
, выполните команду yarn install
на компьютере с доступом к частному реестру. Yarn должен обновить поле, resolved
включив URL-адрес частного реестра.
encoding@^0.1.11:
version "0.1.13"
resolved "https://private_registry_url/encoding/-/encoding-0.1.13.tgz#56574afdd791f54a8e9b2785c0582a2d26210fa9"
integrity sha512-ETBauow1T35Y/WZMkio9jiM0Z5xjHHmJ4XmjZOq1l/dXz3lr2sRn87nJy20RupqSh1F2m3HHPSp8ShIPQJrJ3A==
dependencies:
iconv-lite "^0.6.2"
Вариант 2
Если в yarn.lock
файле не указан частный реестр в качестве источника зависимостей, вы можете настроить Yarn Classic в соответствии с обычными инструкциями диспетчера пакетов:
- Определение конфигурации частного реестра в
dependabot.yml
файле - Добавьте реестр
.yarnrc
в файл в корневом каталоге проекта с помощью реестра разделов. Кроме того, можно запуститьyarn config set registry <private registry URL>
.registry https://private_registry_url
Вариант 3
Если в файле не определен глобальный .yarnrc
реестр, можно задать replaces-base
в файле как true
dependabot.yml
. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание: Для зависимостей с заданной областью (@my-org/my-dep
) Dependabot требует, чтобы частный реестр был определен в файле проекта .npmrc
. Чтобы определить частные реестры для отдельных областей, используйте .@myscope:registry=https://private_registry_url
Нить Берри
Чтобы настроить экосистему Yarn Berry только для доступа к частным реестрам, можно использовать эти методы конфигурации.
Вариант 1
Определите конфигурацию частного dependabot.yml
реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание: Удалите replaces-base: true
из файла конфигурации.
Чтобы убедиться, что частный реестр указан в качестве источника зависимостей в файле проекта yarn.lock
, выполните команду yarn install
на компьютере с доступом к частному реестру. Yarn должен обновить поле, resolved
включив URL-адрес частного реестра.
encoding@^0.1.11:
version "0.1.13"
resolved "https://private_registry_url/encoding/-/encoding-0.1.13.tgz#56574afdd791f54a8e9b2785c0582a2d26210fa9"
integrity sha512-ETBauow1T35Y/WZMkio9jiM0Z5xjHHmJ4XmjZOq1l/dXz3lr2sRn87nJy20RupqSh1F2m3HHPSp8ShIPQJrJ3A==
dependencies:
iconv-lite "^0.6.2"
Вариант 2
Если в yarn.lock
файле не указан частный реестр в качестве источника зависимостей, вы можете настроить Yarn Berry в соответствии с обычными инструкциями диспетчера пакетов:
- Определение конфигурации частного реестра в
dependabot.yml
файле - Добавьте реестр
.yarnrc.yml
в файл в корневом каталоге проекта с помощью ключаnpmRegistryServer
. Кроме того, можно запуститьyarn config set npmRegistryServer <private registry URL>
.npmRegistryServer: "https://private_registry_url"
Примечание: Для зависимостей с заданной областью (@my-org/my-dep
) Dependabot требует, чтобы частный реестр был определен в файле проекта .yarnrc
. Чтобы определить частные реестры для отдельных областей, используйте ."@myscope:registry" "https://private_registry_url"
Nuget
Чтобы разрешить экосистеме NuGet доступ только к частным реестрам dependabot.yml
, можно настроить файл . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Экосистема NuGet также требует nuget.config
, чтобы файл был возвращен в репозиторий с тегом < clear />
в <packageSources>
разделе или ключом nuget.org
true в disabledPackageSources
разделе nuget.config
файла.
Это пример тега < clear />
в packageSources
разделе nuget.config
.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<packageSources>
< clear />
<add key="example-nuget" value="https://private_registry_url/nuget/example-nuget/index.json" />
</packageSources>
</configuration>
Это пример добавления ключа nuget.org
в качестве значения true в disabledPackageSources
раздел nuget.config
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<packageSources>
<add key="example-nuget" value="https://private_registry_url/nuget/example-nuget/index.json" />
</packageSources>
<disabledPackageSources>
<add key="nuget.org" value="true" />
</disabledPackageSources>
</configuration>
Python
Pip, Pip-compile, Pipenv и Poetry — это четыре диспетчера пакетов, которые в настоящее время поддерживает экосистема Python.
PIP
Чтобы настроить экосистему Pip только для доступа к частным реестрам, можно использовать эти методы конфигурации.
Вариант 1
Определите конфигурацию частного dependabot.yml
реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание: Удалите replaces-base: true
из файла конфигурации.
Добавьте URL-адрес частного pip.conf
реестра в [global]
раздел файла и проверьте файл в репозитории.
[global]
timeout = 60
index-url = https://private_registry_url
Вариант 2
Задайте значение replaces-base
в true
dependabot.yml
файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Pip-compile
Чтобы настроить экосистему Pip-compile для доступа только к частным реестрам, можно использовать эти методы конфигурации.
Вариант 1
Задайте значение replaces-base
в true
dependabot.yml
файле . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Вариант 2
Определите конфигурацию частного dependabot.yml
реестра в файле. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание: Удалите replaces-base: true
из файла конфигурации.
Добавьте URL-адрес частного реестра в requirements.txt
файл и проверьте файл в репозитории.
--index-url https://private_registry_url
Pipenv
Чтобы настроить Pipenv только для доступа к частным реестрам, удалите replaces-base
из dependabot.yml
файла . Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Примечание: Удалите replaces-base: true
из файла конфигурации.
Добавьте URL-адрес частного Pipfile
реестра в [[source]]
раздел файла и проверьте файл в репозитории.
[[source]]
url = "https://private_registry_url"
verify_ssl = true
name = "pypi"
Poetry
Чтобы настроить Poetry для доступа только к частным реестрам, задайте в replaces-base
файле значение true
dependabot.yml
. Дополнительные сведения см. в разделе Параметры конфигурации для файла dependabot.yml.
Добавьте URL-адрес частного pyproject.toml
реестра в [[tool.poetry.source]]
раздел файла и проверьте его в репозитории.
[[tool.poetry.source]]
name = "private"
url = "https://private_registry_url"
default = true