GitHub호스팅된 레지스트리에 대한 자동 액세스 정보
Dependabot는 GitHub Packages 워크플로에서 사용하는 것과 동일한 액세스 권한을 사용하여 프라이빗 Container registry 및 GitHub Actions 패키지에 인증할 수 있습니다. 패키지가 패키지 설정에서 리포지토리 읽기 권한을 부여한 경우 해당 패키지에 GitHubDependabot 자동으로 액세스할 수 있습니다.
이렇게 하면 다음을 수행할 필요가 없습니다.
- 레지스트리 액세스를 위한 personal access tokens 생성 및 관리
dependabot.yml파일에서 GitHub에 호스팅된 레지스트리에 대한 액세스를 수동으로 구성- 토큰이 만료되면 자격 증명 회전
자동 액세스 작동 방식
Dependabot는 *.pkg.github.com 및 ghcr.io에서 가져올 때 packages: read 권한을 요청하기 위해 자체 GITHUB_TOKEN를 사용합니다. "작업 액세스 관리"를 통해 리포지토리 액세스 권한을 부여한 패키지는 일반 GitHub Actions 워크플로와 동일한 방식으로 이 토큰을 허용합니다.
패키지의 액세스 제어 및 표시 여부 구성.git s를 참조하십시오.
이는 지원하는 모든 GitHub Packages 에코시스템 Dependabot 에서 작동합니다.
자동 액세스를 사용하는 경우
다음과 같은 경우 GitHub에 호스팅된 레지스트리에 대한 자동 액세스를 사용합니다:
- 리포지토리는 GitHub Packages 또는 Container registry에 저장된 비공개 패키지에 종속됩니다.
- 자격 증명 관리 오버헤드를 줄이려고 합니다.
- 만료 personal access tokens로 인한 자동 업데이트 오류를 방지하려고 합니다.
아티팩토리, Azure Artifacts 또는 Nexus와 같은 타사 레지스트리의 dependabot.yml 경우 레지스트리 구성 또는 조직 수준 프라이빗 레지스트리 설정만 사용할 수 있습니다.
Dependabot에 대한 개인 레지스트리 액세스 구성을(를) 참조하세요.
자동 액세스를 사용하도록 설정하는 방법
읽어야 하는 Dependabot 각 패키지에 대해 패키지의 설정 페이지로 이동하여 Dependabot 액세스 권한으로 실행되는 **** 리포지토리를 추가해야 합니다. Dependabot에 대한 개인 레지스트리 액세스 구성을(를) 참조하세요.
리포지토리에 액세스 권한이 Dependabot 부여되면 해당 패키지에서 자동으로 끌어올 수 있습니다.
dependabot.yml 파일을 구성할 필요가 없으며, 이러한 패키지에 대해 이전에 추가한 기존의 personal access token 기반 레지스트리 항목은 제거할 수 있습니다.
패키지 액세스 구성에 대한 자세한 내용은 패키지의 액세스 제어 및 표시 여부 구성을 참조하세요.