CI测试在Dependabot拉取请求上失败

Question

我有一个GitHub操作，它在我的存储库上打开的每个拉请求上运行CI中的测试。

作为测试工作流的一部分，该作业签出GitHub组织中的其他几个存储库(它们都是私有的，与我的存储库相同)。稍后，工作流程将使用为测试套件签出的内容。

这在我们组织的贡献者发出的pull请求上工作得很好，但每当此工作流在Dependabot发出的PR上运行时，它都会失败，因为Dependabot PR没有与其他pull请求相同的秘密访问权限。

我的问题是，我如何才能为这个工作流提供检查组织中其他repos的能力，而不会将所有秘密数据暴露给受依赖的人？

谢谢!

Answer 1

当此工作流在由Dependabot发出的PR上运行时-它会失败，因为Dependabot PR不具有与其他pull请求相同的秘密访问权限。

这应该不再是(2021年11月/12月)的情况：

GitHub操作:由Dependabot receive 触发的工作流。

现在将向由Dependabot触发的GitHub操作工作流发送Dependabot密钥。

此更改将使您能够使用您为Dependabot配置的相同密钥从CI中的私有包注册表中提取，并将改进操作和Dependabot协同工作的方式。

了解有关using Actions and Dependabot together的更多信息。

Answer 2

This issue介绍了一些解决问题的选项