如何將 Dependabot 與私有包一起使用

Question

我需要Dependabot 的一些幫助。 我最近發現了這個驚人的包，但我的一些存儲庫需要私有包的依賴項，由我創建並在我的個人項目中使用。 Dependabot 表示，對於任何使用私有包的存儲庫，建議最好從其網站的儀表板進行配置。

在我的repo 中，我已將 Dependabot 的配置從之前位於的儀表板移動到.github/dependabot.yml文件中。 在 repo 的Insights選項卡中，以及Dependact Graph部分中，關於找不到私有包的錯誤也在那里拋出。 有沒有人實現過類似的東西？ 我真的很感謝你在這里的支持。

Answer 1

考慮到自 2020 年 12 月 2 日以來，現在有更多關於此的文檔：

Dependabot：來自私有 GitHub 存儲庫的版本更新

Dependabot 已經更新了您的公共依賴項，例如來自公共 GitHub 存儲庫、 npm 、Maven Central 或類似庫的開源依賴項。

現在，您還可以從私有 GitHub 存儲庫更新依賴項。 此功能可用於Dependabot 版本更新支持的大多數包管理器，但bundler 、 hex和pip除外。

首先，在您組織的安全和分析設置頁面上授予 Dependabot 訪問您的部分或全部私有存儲庫的權限：

 https://github.com/organizations/YOUR-ORGANIZATION/settings/security_analysis.

了解有關Dependabot 版本更新的更多信息。

---

2021 年 3 月：

Dependabot 私有注冊表支持公開測試版

Dependabot 現在可以從經過身份驗證的私有注冊表訪問依賴項，例如 GitHub Packages、Azure Artifacts 和 Artifactory。 這些私有注冊表類似於它們的公共注冊表，但它們需要身份驗證並且僅對您的團隊或公司的成員可用。 在此版本中，Dependabot 版本更新可以幫助保持內部源代碼與開源一樣最新。

要啟用此功能，請在您的dependabot.yml 中添加一個registries 部分，在相關更新中引用您的新注冊表， 並將任何秘密添加到 Dependabot 的秘密存儲中。

這補充了您賦予 Dependabot 版本更新訪問私有存儲庫的能力，這在 go modules 和 npm 等生態系統中很常見。

Answer 2

盡管此特定主題的信息和文檔不多，但我還是設法解決了我的問題。 它是GitHub Secrets和.npmrc和.yarnrc文件配置的組合。 您可以在此處找到相關問題以及我的官方回答。