Acceso automático de Dependabot a registros alojados en GitHub

Mantenga actualizadas las dependencias privadas concediéndole Dependabot acceso automático a GitHub Packages y Container registry, por lo que nunca es necesario crear o rotar credenciales para estos registros.

En este artículo

Sobre el acceso automático a los registros alojados en GitHub

Dependabot puede autenticarse en paquetes privados GitHub Packages y Container registry mediante las mismas concesiones de acceso que GitHub Actions usan los flujos de trabajo. Si un paquete ha concedido a su repositorio acceso de lectura en la configuración del paquete de GitHub, Dependabot puede acceder automáticamente a ese paquete.

Esto elimina la necesidad de:

  • Crear y administrar personal access tokens para el acceso al registro
  • Configure manualmente el acceso a los registros alojados en GitHub en el archivo dependabot.yml
  • Rotación de credenciales cuando expiren los tokens

Funcionamiento del acceso automático

Dependabot usa su GITHUB_TOKEN para solicitar el permiso de packages: read al extraer de *.pkg.github.com y ghcr.io. Cualquier paquete al que se le haya concedido acceso a tu repositorio a través de "Administrar el acceso de Actions" acepta este token, de la misma manera que lo haría con un flujo de trabajo habitual GitHub Actions. Consulte Configurar la visibilidad y el control de accesos de un paquete.git s

Esto funciona para cada GitHub Packages ecosistema que Dependabot admita.

Cuándo usar el acceso automático

Utilice el acceso automático a los registros alojados en GitHub cuando:

  • Los repositorios dependen de los paquetes privados almacenados en GitHub Packages o Container registry.
  • Quiere reducir la sobrecarga de administración de credenciales.
  • Debe evitar los fallos silenciosos de actualización causados por el vencimiento de personal access tokens.

En el caso de los repositorios de terceros (como Artifactory, Azure Artifacts o Nexus), solo puede usar la configuración del registro dependabot.yml o la configuración del registro privado a nivel de organización. Consulte Configuración del acceso a registros privados para Dependabot.

Habilitación del acceso automático

Para cada paquete que Dependabot necesite leer, debes ir a la página de configuración del paquete y añadir el repositorio que ejecuta Dependabot con acceso de lectura. Consulte Configuración del acceso a registros privados para Dependabot.

Una vez que al repositorio se le haya concedido acceso, Dependabot puede extraer de ese paquete automáticamente. No necesita configurar el archivo dependabot.yml, y puede eliminar cualquier entrada del Registro basada en personal access token que haya agregado anteriormente para estos paquetes.

Para obtener más información sobre cómo configurar el acceso a paquetes, consulte Configurar la visibilidad y el control de accesos de un paquete.