Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Die aktuellsten Informationen findest du in der englischen Dokumentation.
 

 

Verwalten verschlüsselter Geheimnisse für Dependabot

Inhalt dieses Artikels

Du kannst vertrauliche Informationen, z. B. Kennwörter und Zugriffstoken, als verschlüsselte Geheimnisse speichern und dann in der Dependabot-Konfigurationsdatei darauf verweisen.

Informationen zu verschlüsselten Geheimnissen für Dependabot

Bei Dependabot-Schlüsseln handelt es sich um verschlüsselte Anmeldeinformationen, die du entweder auf Organisationsebene oder auf Repositoryebene erstellst. Wenn du auf Organisationsebene ein Geheimnis hinzufügst, kannst du angeben, welche Repositorys darauf zugreifen kannst. Du kannst Geheimnisse verwenden, um Dependabot zu erlauben, Abhängigkeiten in privaten Paketregistrierungen zu aktualisieren. Wenn du ein Geheimnis hinzufügst, wird es verschlüsselt, bevor es GitHub erreicht, und bleibt verschlüsselt, bis es von Dependabot zum Zugreifen auf eine private Paketregistrierung verwendet wird.

Nachdem du ein Dependabot-Geheimnis hinzugefügt hast, kannst du darauf wie folgt in der Konfigurationsdatei dependabot.yml verweisen: ${{secrets.NAME}}, wobei „NAME“ der Name ist, den du für das Geheimnis ausgewählt hast. Beispiel: 

password: ${{secrets.MY_ARTIFACTORY_PASSWORD}}

Weitere Informationen findest du unter Konfigurationsoptionen für die Datei „dependabot.yml“.

Benennen deiner Geheimnisse

Der Name eines Dependabot-Geheimnisses:

  • darf nur alphanumerische Zeichen ([A-Z], [0-9]) oder Unterstriche (_) enthalten. Leerzeichen sind nicht zulässig. Wenn du Kleinbuchstaben eingibst, werden diese in Großbuchstaben geändert.
  • darf nicht mit dem GITHUB_-Präfix beginnen.
  • darf nicht mit einer Zahl beginnen.

Hinzufügen eines Repositorygeheimnisses für Dependabot

Um Geheimnisse für das Repository eines persönlichen Kontos zu erstellen, musst Du der Besitzer des Repositorys sein. Um Geheimnisse für ein Organisationsrepository zu erstellen, musst du über admin-Zugriff verfügen.

  1. Navigiere in zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  2. Wähle im Abschnitt „Sicherheit“ der Seitenleiste Geheimnisse aus, und klicke dann auf Dependabot .

  3. Klicke auf Neues Repositorygeheimnis.

  4. Gib einen Namen für dein Geheimnis in das Eingabefeld Name ein.

  5. Gib den Wert für das Geheimnis ein.

  6. Klicke auf Geheimnis hinzufügen.

    Der Name des Geheimnisses wird auf der Geheimnisseite von Dependabot aufgeführt. Du kannst auf Aktualisieren klicken, um den Wert des Geheimnisses zu ändern. Du kannst auf Entfernen klicken, um das Geheimnis zu löschen.

    Aktualisieren oder Entfernen eines Repositorygeheimnisses

Hinzufügen eines Organisationsgeheimnisses für Dependabot

Beim Erstellen eines Geheimnisses in einer Organisation kannst du eine Richtlinie verwenden, um einzuschränken, welche Repositorys darauf zugreifen können. Du kannst beispielsweise allen Repositorys Zugriff gewähren oder nur private Repositorys oder eine angegebene Liste von Repositorys zulassen.

Für das Erstellen von Geheimnissen auf Organisationsebene benötigst du admin-Zugriff.

  1. Navigiere auf zur Hauptseite der Organisation. 1. Klicke unter deinem Organisationsnamen auf Einstellungen. Schaltfläche „Organisationseinstellungen“

  2. Wähle im Abschnitt „Sicherheit“ der Seitenleiste Geheimnisse aus, und klicke dann auf Dependabot .

  3. Klicke auf Neues Organisationsgeheimnis.

  4. Gib einen Namen für dein Geheimnis in das Eingabefeld Name ein.

  5. Gib den Wert für das Geheimnis ein.

  6. Wähle in der Dropdownliste Repositoryzugriff eine Zugriffsrichtlinie aus.

  7. Wenn du Ausgewählte Repositorys ausgewählt hast:

    • klicke auf .
    • wähle die Repositorys aus, die auf dieses Geheimnis zugreifen können. Auswählen von Repositorys für dieses Geheimnis
    • Klicke auf Auswahl aktualisieren.

  8. Klicke auf Geheimnis hinzufügen.

    Der Name des Geheimnisses wird auf der Geheimnisseite von Dependabot aufgeführt. Du kannst auf Aktualisieren klicken, um den Geheimniswert oder die Zugriffsrichtlinie zu ändern. Du kannst auf Entfernen klicken, um das Geheimnis zu löschen.

    Aktualisieren oder Entfernen eines Organisationsgeheimnisses

Hinzufügen von Dependabot zur IP-Zulassungsliste deiner Registrierungen

Wenn deine private Registrierung mit einer IP-Zulassungsliste konfiguriert ist, findest du die IP-Adressen, die von Dependabot zum Zugreifen auf die Registrierung im Meta-API-Endpunkt verwendet werden, unter dem dependabot-Schlüssel. Weitere Informationen findest du unter Meta.