Dependabot Geheimnisse
Dependabot Geheime Schlüssel werden verwendet, um Anmeldeinformationen und vertrauliche Informationen für die Verwendung in Dependabot.
Dependabot Geheimnisse werden in der `dependabot.yml`-Datei eines Repositorys referenziert.
Usage
Dependabot Geheime Schlüssel werden in der Regel verwendet Dependabot , um sich bei privaten Paketregistrierungen zu authentifizieren. Dadurch können Dependabot Pullanforderungen geöffnet werden, um anfällige oder veraltete Abhängigkeiten in privaten Repositorys zu aktualisieren. Für die Authentifizierung verwendet, werden diese Dependabot Geheimnisse in der `dependabot.yml` Datei eines Repositorys referenziert.
Dependabot Geheimnisse können auch solche enthalten, die für von Dependabot initiierte Workflows erforderlich sind. Beispielsweise können Dependabot Workflows GitHub Actions ausgelöst werden, wenn Pullanforderungen erstellt werden, um Abhängigkeiten zu aktualisieren, oder Kommentare zu Pullanforderungen abgegeben werden. In diesem Fall können geheime Schlüssel aus Workflowdateien (Dependabot) referenziert werden, `.github/workflows/*.yml` solange der Workflow durch ein Dependabot Ereignis ausgelöst wird.
Geltungsbereich
Sie können Geheimnisse Dependabot unter: definieren
-
Repositoryebene
-
Organisationsebene
Dependabot Geheime Schlüssel können über Repositorys hinweg freigegeben werden, wenn sie auf Organisationsebene festgelegt sind. Du musst angeben, welche Repositorys in der Organisation auf das Geheimnis zugreifen können.
Zugriffsberechtigungen
Dependabot Auf geheime Schlüssel wird zugegriffen, indem Dependabot sie sich bei privaten Registrierungen authentifizieren, um Abhängigkeiten zu aktualisieren.
Dependabot geheime Schlüssel werden von GitHub Actions Workflows aufgerufen, wenn das Triggerereignis für den Workflow durch Dependabotinitiiert wird. Dies liegt daran, dass beim Initiieren Dependabot eines Workflows nur Dependabot geheime Schlüssel verfügbar sind – Actions-Geheimnisse sind nicht zugänglich. Daher müssen alle für diese Workflows erforderlichen Geheimnisse als Dependabot Geheimnisse anstelle von Actions-Geheimnissen gespeichert werden. Es gibt zusätzliche Sicherheitseinschränkungen für das `pull_request_target`-Ereignis. Weitere Informationen findest du unter [Einschränkungen](#limitations-and-restrictions).
Benutzerzugriffsberechtigungen
Geheimnisse auf Repositoryebene:
- Benutzer mit Administratorzugriff auf das Repository können Dependabot Secrets erstellen und verwalten.
- Benutzer mit Mitarbeiterzugriff auf das Repository können den geheimen Schlüssel verwenden.Dependabot
Geheimnisse auf Organisationsebene:
- Organisationsbesitzer können Dependabot Geheimnisse erstellen und verwalten.
- Benutzer mit Mitarbeiterzugriff auf die Repositories, die Zugriff auf jedes Geheimnis haben, können das Geheimnis Dependabotverwenden.
Beschränkungen und Einschränkungen
Bei Workflows, die von Dependabotdiesem initiiert werden, wird das pull_request_target Ereignis anders behandelt als andere Ereignisse. Wenn der Basis-Ref für die Pull-Anfrage von Dependabot (github.event.pull_request.user.login == 'dependabot[bot]') erstellt wurde.
- Der Workflow empfängt ein schreibgeschütztes
GITHUB_TOKEN-Element. - Geheimnisse sind für den Workflow nicht verfügbar.
Diese zusätzliche Einschränkung hilft dabei, potenzielle Sicherheitsrisiken zu verhindern, die aus Pull-Anfragen entstehen könnten, die von Dependabot erstellt werden.
Dependabot Geheime Schlüssel werden nicht an Forks übergeben.
Aktionsgeheimnisse
Actions-Geheimnisse werden verwendet, um vertrauliche Informationen wie API-Schlüssel, Authentifizierungstoken und weitere Anmeldeinformationen in Workflows zu speichern.
Usage
In Workflowdateien (.github/workflows/*.yml) wird auf Actions-Geheimnisse verwiesen.
Geltungsbereich
Du kannst Actions-Geheimnisse auf den folgenden Ebenen definieren:
- Repositoryebene
- Umgebungsebene
- Organisationsebene
Geheimnisse auf Umgebungsebene sind für eine bestimmte Umgebung wie die Produktions- oder Stagingumgebung spezifisch. Actions-Geheimnisse können zwischen Repositorys geteilt werden, wenn diese auf Organisationsebene festgelegt wurden. Du kannst Zugriffsrichtlinien verwenden, um zu steuern, welche Repositorys Zugriff auf das Geheimnis haben.
Zugriffsberechtigungen
Geheime Aktionen sind nur innerhalb von GitHub Actions-Workflows verfügbar. Obwohl Dependabot auf Aktionen ausgeführt wird, hat es keinen Zugriff auf Aktionen-Geheimnisse.
Für Workflows, die von Dependabot"Aktionen" initiiert werden, sind geheime Aktionsschlüssel nicht verfügbar. Diese Workflowschlüssel müssen als Dependabot geheime Schlüssel gespeichert werden, um auf den Workflow zugreifen zu können.
Der Speicherort, an dem das Actions-Geheimnis gespeichert wird, bestimmt den Zugriff:
- Repositorygeheimnis: Alle Workflows im Repository können auf das Geheimnis zugreifen.
- Umgebungsgeheimnis: Das Geheimnis ist auf Aufträge beschränkt, die auf diese bestimmte Umgebung verweisen.
- Organisationsgeheimnis: Alle Workflows in den Repositorys, denen der Zugriff durch die Organisation gewährt wurde, können auf die Organisationsgeheimnisse zugreifen.
Benutzerzugriffsberechtigungen
Geheimnisse auf Repositoryebene und Umgebungsgeheimnisse:
- Benutzende mit Administratorzugriff für das Repository können Actions-Geheimnisse erstellen und verwalten.
- Benutzende mit Projektmitarbeiterzugriff für das Repository können das Geheimnis verwenden.
Geheimnisse auf Organisationsebene:
- Organisationsbesitzende können Actions-Geheimnisse erstellen und verwalten.
- Benutzende mit Projektmitarbeiterzugriff für die Repositorys mit Zugriff auf die einzelnen Geheimnisse können das Geheimnis verwenden.
Beschränkungen und Einschränkungen
- Geheime Aktionen sind für Workflows, die Dependabot initiiert, nicht verfügbar.
- Actions-Geheimnisse werden nicht an Workflows übergeben, die durch einen Pull Request von einem Fork ausgelöst werden.
- GitHub Actions redagiert automatisch den Inhalt aller GitHub geheimen Schlüssel, die in Workflowprotokolle gedruckt werden.
- Du kannst bis zu 1.000 Organisationsgeheimnisse, 100 Repositorygeheimnisse und 100 Umgebungsgeheimnisse speichern. Geheimnisse sind auf 48 KB beschränkt. Weitere Informationen findest du unter Einschränkungen für Geheimnisse.