如何在私有包中使用Dependabot

Question

我需要Dependabot的帮助。我最近发现了这个惊人的包，但我的一些存储库需要依赖关系，即私有包，由我创建，并在我的个人项目中使用。Dependabot说，对于任何使用私有包的存储库，最好从他们的网站的仪表板中配置。

在我的存储库中，我已经将Dependabot的配置从以前位于的仪表板移到.github/dependabot.yml文件中。在回购的Insight选项卡和Dependact图部分中，有关找不到私有包的错误也会抛出。有没有人实现过类似的东西？我非常感谢你在这里的支持。

Answer 1

考虑到自2020年12月2日以来，已经有了更多关于这方面的文献：

Dependabot:私有GitHub存储库的版本更新 Dependabot已经更新了您的公共依赖项，例如来自公共GitHub存储库npm、Maven Central或类似的开源依赖项。 现在，您还可以从私有GitHub存储库更新依赖项。除了bundler、hex和pip之外，大多数bundler都可以使用此特性。 要开始，在您的组织的安全和分析设置页面上的授予Dependabot访问部分或全部私有存储库的权限： 分析。 了解更多关于Dependabot版本更新的信息。

2021年3月：

Dependabot私有注册中心支持公共beta Dependabot现在可以从经过身份验证的私有注册中心(如GitHub包、Azure工件和Artifactory )访问依赖项。这些私有注册中心与它们的公共注册中心相似，但它们需要身份验证，并且只对您的团队或公司成员可用。有了这个版本，Dependabot版本更新可以帮助保持内部源代码作为开源的最新版本。 要启用此功能，请在dependabot.yml中添加一个注册表部分，在相关更新中引用新注册中心和在Dependabot的秘密商店里添加任何秘密。 这是对Dependabot版本更新访问私有存储库的能力的补充，这对于go模块和npm这样的生态系统来说是很常见的。

2021年12月：

每当这个工作流运行在由Dependabot发出的PR上时，它就会失败，因为Dependabot没有其他请求那样的秘密访问权限。

这种情况不应再发生(2021年11月/12月)：

GitHub操作:由Dependabot触发的工作流接收可靠的秘密。 由Dependabot触发的GitHub操作工作流现在将被发送到Dependabot秘密。 此更改将使您能够使用为Dependabot配置的相同秘密从CI中的私有包注册表中提取，并将改进动作和Dependabot一起工作的方式。 了解更多关于一起使用动作和Dependabot的信息。

Answer 2

尽管对于这个特定的主题没有太多的信息和文档，我还是设法解决了我的问题。它是、GitHub、Secrets、和.npmrc & .yarnrc文件配置的组合。你可以找到相关的问题，以及我的官方答案，这里。