如何将 Dependabot 与私有包一起使用

Question

我需要Dependabot 的一些帮助。 我最近发现了这个惊人的包，但我的一些存储库需要私有包的依赖项，由我创建并在我的个人项目中使用。 Dependabot 表示，对于任何使用私有包的存储库，建议最好从其网站的仪表板进行配置。

在我的repo 中，我已将 Dependabot 的配置从之前位于的仪表板移动到.github/dependabot.yml文件中。 在 repo 的Insights选项卡中，以及Dependact Graph部分中，关于找不到私有包的错误也在那里抛出。 有没有人实现过类似的东西？ 我真的很感谢你在这里的支持。

Answer 1

考虑到自 2020 年 12 月 2 日以来，现在有更多关于此的文档：

Dependabot：来自私有 GitHub 存储库的版本更新

Dependabot 已经更新了您的公共依赖项，例如来自公共 GitHub 存储库、 npm 、Maven Central 或类似库的开源依赖项。

现在，您还可以从私有 GitHub 存储库更新依赖项。 此功能可用于Dependabot 版本更新支持的大多数包管理器，但bundler 、 hex和pip除外。

首先，在您组织的安全和分析设置页面上授予 Dependabot 访问您的部分或全部私有存储库的权限：

 https://github.com/organizations/YOUR-ORGANIZATION/settings/security_analysis.

了解有关Dependabot 版本更新的更多信息。

---

2021 年 3 月：

Dependabot 私有注册表支持公开测试版

Dependabot 现在可以从经过身份验证的私有注册表访问依赖项，例如 GitHub Packages、Azure Artifacts 和 Artifactory。 这些私有注册表类似于它们的公共注册表，但它们需要身份验证并且仅对您的团队或公司的成员可用。 在此版本中，Dependabot 版本更新可以帮助保持内部源代码与开源一样最新。

要启用此功能，请在您的dependabot.yml 中添加一个registries 部分，在相关更新中引用您的新注册表， 并将任何秘密添加到 Dependabot 的秘密存储中。

这补充了您赋予 Dependabot 版本更新访问私有存储库的能力，这在 go modules 和 npm 等生态系统中很常见。

Answer 2

尽管此特定主题的信息和文档不多，但我还是设法解决了我的问题。 它是GitHub Secrets和.npmrc和.yarnrc文件配置的组合。 您可以在此处找到相关问题以及我的官方回答。