Sobre o acesso automático a registros hospedados em GitHub
Dependabot pode se autenticar em pacotes privados GitHub Packages e Container registry usando as mesmas permissões de acesso que os fluxos de trabalho do GitHub Actions usam. Se um pacote tiver concedido ao seu repositório acesso de leitura nas configurações do pacote em GitHub, Dependabot você poderá acessar esse pacote automaticamente.
Isso elimina a necessidade de:
- Criar e gerenciar personal access tokens para acesso ao Registro
- Configure manualmente o acesso aos registros GitHubhospedados no seu arquivo
dependabot.yml. - Atualizar as credenciais quando os tokens expirarem
Como o acesso automático funciona
Dependabot usa seu GITHUB_TOKEN para solicitar permissão packages: read ao fazer pull de *.pkg.github.com e ghcr.io. Qualquer pacote que tenha concedido acesso ao seu repositório por meio da opção “Gerenciar acesso a ações” aceita esse token, da mesma forma que faria em um fluxo de trabalho GitHub Actions normal. Consulte Configurando o controle de acesso e visibilidade de um pacote.git s
Isso funciona para todo ecossistema GitHub Packages que Dependabot oferece suporte.
Quando usar o acesso automático
Use o acesso automático aos registros hospedados em GitHub quando:
- Seus repositórios dependem de pacotes privados armazenados em GitHub Packages ou Container registry.
- Você deseja reduzir a sobrecarga de gerenciamento de credenciais.
- Você quer evitar falhas silenciosas na atualização causadas por arquivos personal access tokens expirados.
Para registros de terceiros (como Artifactory, Azure Artifacts ou Nexus), você só pode usar a configuração de registro dependabot.yml ou as configurações de registro privado no nível da organização. Consulte Configurando o acesso a registros privados para Dependabot.
Como habilitar o acesso automático
Para cada pacote que Dependabot precisa ler, você precisa acessar a página de configurações do pacote e adicionar o repositório que executa Dependabot com acesso de Leitura. Consulte Configurando o acesso a registros privados para Dependabot.
Depois que o repositório receber acesso, Dependabot poderá baixar esse pacote automaticamente. Você não precisa configurar o arquivo dependabot.yml, e pode remover todas as entradas de registro baseadas em personal access token que você adicionou anteriormente para esses pacotes.
Para obter mais informações sobre como configurar o acesso ao pacote, consulte Configurando o controle de acesso e visibilidade de um pacote.