Dependabot Segredos
Dependabot os segredos são usados para armazenar credenciais e informações confidenciais para uso dentro Dependabot.
Dependabot os segredos de um repositório são referenciados no arquivo `dependabot.yml`.
Usage
Dependabot os segredos normalmente são usados Dependabot para autenticar em registros de pacotes privados. Isso permite abrir solicitações de pull para atualizar dependências vulneráveis ou desatualizadas Dependabot em repositórios privados. Usados para autenticação, esses Dependabot segredos são referenciados em um arquivo de `dependabot.yml` do repositório.
Dependabot segredos também podem incluir segredos necessários para fluxos de trabalho iniciados por Dependabot. Por exemplo, Dependabot pode disparar GitHub Actions fluxos de trabalho quando cria solicitações de pull para atualizar dependências ou comentários sobre solicitações de pull. Nesse caso, os segredos Dependabot podem ser referenciados a partir de arquivos de fluxo de trabalho (`.github/workflows/*.yml`) desde que o fluxo de trabalho seja disparado por Dependabot evento.
Scope
Você pode definir Dependabot segredos em:
-
Nível do repositório
-
Nível da organização
Dependabot os segredos podem ser compartilhados entre repositórios quando definidos no nível da organização. Você deve especificar quais repositórios na organização podem acessar o segredo.
Permissões de acesso
Dependabot os segredos são acessados Dependabot ao autenticar em registros privados para atualizar dependências.
Dependabot os segredos são acessados por GitHub Actions fluxos de trabalho quando o evento de gatilho para o fluxo de trabalho é iniciado por Dependabot. Isso ocorre porque quando um fluxo de trabalho é iniciado por Dependabot, somente Dependabot segredos estão disponíveis, os segredos de ações não são acessíveis. Portanto, todos os segredos necessários para esses fluxos de trabalho devem ser armazenados como Dependabot segredos, em vez de segredos de ações. Há restrições de segurança adicionais para o evento `pull_request_target`. Confira [Limitações e restrições](#limitations-and-restrictions).
Permissões de acesso do usuário
Segredos no nível do repositório:
- Os usuários com acesso de administrador ao repositório podem criar e gerenciar Dependabot segredos.
- Usuários com acesso de colaborador ao repositório podem usar o segredo para Dependabot.
Segredos no nível da organização:
- Os proprietários da organização podem criar e gerenciar Dependabot segredos.
- Usuários com acesso de colaborador aos repositórios que têm acesso a cada segredo podem utilizar o segredo para Dependabot.
Limitações e restrições
Para fluxos de trabalho iniciados por Dependabot, o pull_request_target evento é tratado de forma diferente para outros eventos. Para este evento, se o ref base do pull request foi criado por Dependabot (github.event.pull_request.user.login == 'dependabot[bot]'):
- O fluxo de trabalho recebe um
GITHUB_TOKENsomente leitura. - Os segredos não ficam disponíveis para o fluxo de trabalho.
Essa restrição extra ajuda a evitar possíveis riscos de segurança que podem surgir de solicitações de pull criadas por Dependabot.
Dependabot os segredos não são passados para forks.
Segredos do Actions
Os segredos do Actions são usados para armazenar informações confidenciais, como chaves de API, tokens de autenticação e outras credenciais em fluxos de trabalho.
Usage
Os segredos do Actions são referenciados em arquivos de fluxo de trabalho (.github/workflows/*.yml).
Scope
Você pode definir segredos do Actions no:
- Nível do repositório
- Nível de ambiente
- Nível da organização
Os segredos no nível do ambiente são específicos de um ambiente específico, como produção ou preparo. Os segredos do Actions podem ser compartilhados entre repositórios se definidos no nível da organização. Você pode usar políticas de acesso para controlar quais repositórios têm acesso ao segredo.
Permissões de acesso
Os segredos do Actions estão disponíveis apenas no âmbito de GitHub Actions fluxos de trabalho. Apesar de executar em Ações, Dependabot não tem acesso aos segredos do Actions.
Para fluxos de trabalho iniciados por Dependabot, os segredos de ações não estão disponíveis. Esses segredos de fluxo de trabalho devem ser armazenados como Dependabot segredos para serem acessíveis ao fluxo de trabalho.
O local em que você armazena o segredo do Actions determina sua acessibilidade:
- Segredo do repositório: todos os fluxos de trabalho no repositório podem acessar o segredo.
- Segredo do ambiente: o segredo é limitado a trabalhos que fazem referência a esse ambiente específico.
- Segredo da organização: todos os fluxos de trabalho nos repositórios que receberam acesso da organização podem acessar os segredos da organização.
Permissões de acesso do usuário
Segredos de nível de ambiente e repositório:
- Os usuários com acesso de administrador ao repositório podem criar e gerenciar segredos do Actions.
- Os usuários com acesso de colaborador ao repositório podem usar o segredo.
Segredos no nível da organização:
- Proprietários da organização podem criar e gerenciar segredos do Actions.
- Os usuários com acesso de colaborador aos repositórios com acesso a cada segredo podem usar o segredo.
Limitações e restrições
- Os segredos de ações não estão disponíveis para fluxos de trabalho iniciados por Dependabot.
- Os segredos do Actions não são passados para fluxos de trabalho que são disparados por uma solicitação de pull de um fork.
- GitHub Actions redigi automaticamente o conteúdo de todos os GitHub segredos que são impressos em logs de fluxo de trabalho.
- Você pode armazenar até 1.000 segredos da organização, 100 segredos de repositório e 100 segredos de ambiente. Os segredos são limitados a 48 KB. Para obter mais informações, consulte Limites para segredos.