Automatischer Dependabot-Zugriff auf GitHub-gehostete Registrierungen

Halten Sie Ihre privaten Abhängigkeiten zuverlässig auf dem neuesten Stand, indem Sie Dependabot automatischen Zugriff auf GitHub Packages und Container registry gewähren, sodass Sie nie Anmeldeinformationen für diese Registrys erstellen oder erneuern müssen.

In diesem Artikel

Über den automatischen Zugriff auf GitHub-gehostete Register

Dependabot kann sich mit denselben Zugriffsberechtigungen, die GitHub Packages Workflows verwenden, für private Pakete in Container registry und GitHub Actions authentifizieren. Wenn ein Paket Ihrem Repository in den Paketeinstellungen auf GitHubLesen-Zugriff gewährt hat, kann Dependabot automatisch auf das Paket zugreifen.

Dadurch wird die Notwendigkeit beseitigt:

  • personal access tokens für den Zugriff auf die Registrierung erstellen und verwalten
  • Manuelles Konfigurieren des Zugriffs auf GitHubgehostete Registrierungen in Ihrer dependabot.yml Datei
  • Erneuern Sie Anmeldeinformationen, wenn Token ablaufen

Funktionsweise des automatischen Zugriffs

Dependabot verwendet seine GITHUB_TOKEN, um beim Abrufen von *.pkg.github.com und ghcr.io die Berechtigung packages: read anzufordern. Jedes Paket, das Ihrem Repository zugriff über "Zugriff auf Aktionen verwalten" gewährt hat, akzeptiert dieses Token auf die gleiche Weise wie bei einem regulären GitHub Actions Workflow. Siehe AUTOTITLE.git s

Dies funktioniert für jedes GitHub Packages-Ökosystem, das von Dependabot unterstützt wird.

Wann der automatische Zugriff verwendet werden soll

Verwenden Sie den automatischen Zugriff auf GitHub-gehostete Registrierungen, wenn:

  • Ihre Repositories hängen von privaten Paketen ab, die in GitHub Packages oder Container registry gespeichert sind.
  • Sie möchten den Aufwand für die Verwaltung von Anmeldeinformationen verringern.
  • Sie möchten unbemerkte Updatefehler vermeiden, die durch abgelaufene personal access tokens verursacht werden.

Bei Registrierungen von Drittanbietern (z. B. Artifactory, Azure Artifacts oder Nexus) können Sie nur die dependabot.yml Registrierungskonfiguration oder private Registrierungseinstellungen auf Organisationsebene verwenden. Siehe Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

Aktivieren des automatischen Zugriffs

Für jedes Paket, das Dependabot lesen muss, müssen Sie zur Einstellungsseite des Pakets gehen und das Repository hinzufügen, auf dem Dependabot ausgeführt wird, mit Lesen-Zugriff. Siehe Konfigurieren des Zugriffs auf private Registrierungen für Dependabot.

Sobald dem Repository Zugriff gewährt wurde, kann Dependabot automatisch aus diesem Paket abrufen. Sie müssen die dependabot.yml Datei nicht konfigurieren, und Sie können alle vorhandenen registrierungsbasierten personal access tokenEinträge entfernen, die Sie zuvor für diese Pakete hinzugefügt haben.

Weitere Informationen zum Konfigurieren des Paketzugriffs finden Sie unter Konfigurieren der Zugriffssteuerung und Sichtbarkeit von Paketen.