我需要一些关于Dependabot的帮助。我最近发现了这个惊人的包,但是我的一些存储库需要依赖包,这些包是由我创建并在我的个人项目中使用的私有包。Dependabot 表示,对于任何使用私有包的存储库,建议最好从其网站的仪表板进行配置。
在我的repo中,我已将 Dependabot 的配置.github/dependabot.yml从之前位于的仪表板中移至文件中。在repo的Insights选项卡和Dependact Graph部分中,也抛出了关于找不到私有包的错误。有没有人实现过类似的东西?我非常感谢您在这里的支持。
考虑到自 2020 年 12 月 2 日以来,现在有更多关于此的文档:
Dependabot:来自私有 GitHub 存储库的版本更新
npmDependabot 已经更新了您的公共依赖项,例如来自公共 GitHub 存储库、Maven Central 或类似内容的开源依赖项。现在,您还可以从私有 GitHub 存储库更新依赖项。此功能适用于Dependabot 版本更新支持的大多数包管理器,但
bundler、hex和pip.要开始使用,请在您组织的安全和分析设置页面上授予 Dependabot 对您的部分或全部私有存储库的访问权限:
https://github.com/organizations/YOUR-ORGANIZATION/settings/security_analysis.了解有关Dependabot 版本更新的更多信息。
2021 年 3 月:
Dependabot 私有注册表支持公测
Dependabot 现在可以从经过身份验证的私有注册表访问依赖项,例如 GitHub Packages、Azure Artifacts 和 Artifactory。这些私有注册表类似于它们的公共等效项,但它们需要身份验证并且仅对您的团队或公司的成员可用。在此版本中,Dependabot 版本更新可以帮助保持内部源代码与开源代码一样最新。
要启用此功能,请将 registries 部分添加到您的dependabot.yml,在相关更新中引用您的新注册表,并将任何机密添加到 Dependabot 的机密存储。
这补充了您让 Dependabot 版本更新访问私有存储库的能力,这对于 go modules 和 npm 等生态系统很常见。
2021 年 12 月:
每当此工作流在 Dependabot 发布的 PR 上运行时,它都会失败,因为 Dependabot PR 没有与其他拉取请求相同的秘密访问权限。
(2021 年 11 月/2021 年 12 月)不应再出现这种情况:
GitHub Actions:由 Dependabot 触发的工作流接收dependabot secrets。
由 Dependabot 触发的 GitHub Actions 工作流现在将被发送 Dependabot 机密。
此更改将使您能够使用您为 Dependabot 配置的相同机密从 CI 中的私有包注册表中提取以使用,并将改进 Actions 和 Dependabot 的协同工作方式。
了解有关同时使用 Actions 和 Dependabot的更多信息。
虽然没有太多关于这个特定主题的信息和文档,但我设法解决了我的问题。它是GitHub Secrets.npmrc和&.yarnrc文件配置的组合。您可以在此处找到相关问题以及我的官方答案。