关于自动访问由 GitHub 托管的注册表
Dependabot可以使用与GitHub Packages工作流相同的访问授权,对私有Container registry和GitHub Actions软件包进行身份验证。 如果某个包已在 GitHub 上的包设置中授予您的仓库 读取 访问权限,Dependabot 就可以自动访问该包。
这样就无需:
- 创建和管理用于注册表访问的 personal access tokens
- 在
dependabot.yml文件中手动配置对由 GitHub 托管的注册表的访问 - 令牌过期时轮换凭据
自动访问的工作原理
Dependabot 在从 *.pkg.github.com 和 ghcr.io 拉取时,使用其 GITHUB_TOKEN 来请求 packages: read 权限。 通过“管理操作访问”授予你的仓库访问权限的任何包,都会像对常规的 GitHub Actions 工作流一样接受此令牌。 请参阅 AUTOTITLE.git s
这适用于 GitHub Packages 支持的每个 Dependabot 生态系统。
何时使用自动访问
在以下情况下,使用对由 GitHub 托管的注册表的自动访问:
- 您的存储库依赖于存储在 GitHub Packages 或 Container registry 中的私有包。
- 你想要减少凭据管理开销。
- 你希望避免因过期 personal access tokens而导致的无提示更新失败。
对于第三方注册表(如 Artifactory、Azure Artifacts 或 Nexus),只能使用dependabot.yml注册表配置或组织级专用注册表设置。 请参阅“为 Dependabot 配置对专用注册表的访问权限”。
如何启用自动访问
对于 Dependabot 需要读取的每个包,你都需要前往该包的设置页面,并添加运行 Dependabot 的仓库,并为其授予 Read 访问权限。 请参阅“为 Dependabot 配置对专用注册表的访问权限”。
授予存储库访问权限后, Dependabot 可以自动从该包拉取。 您无需配置 dependabot.yml 文件,并且可以删除之前为这些包添加的任何现有的基于 personal access token 的注册表项。
有关配置包访问的详细信息,请参阅 配置包的访问控制和可见性。