- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我需要一些关于 的帮助依赖机器人 .我最近发现了这个惊人的包,但是我的一些存储库需要 的依赖项私有(private)包 ,由我创建并用于我的个人项目。 Dependabot 表示,对于任何使用私有(private)包的存储库,建议最好从它们的 进行配置。网站的仪表板 .
在我的 repo ,我已将 Dependabot 的配置移至 .github/dependabot.yml
文件,来自之前位于的仪表板。在 见解 在 repo 的选项卡中,在 Dependact Graph 部分中,也抛出了关于找不到私有(private)包的错误。有没有人实现过类似的东西?我非常感谢您在这里的支持。
最佳答案
考虑到自 2020 年 12 月 2 日以来,现在有更多关于此的文档:
Dependabot: version updates from private GitHub repositories
Dependabot already updates your public dependencies, such as open source dependencies from a public GitHub repository,
npm
, Maven Central, or similar.Now, you can also update dependencies from private GitHub repositories. This feature is available for most package managers supported by Dependabot version updates, except
bundler
,hex
, andpip
.To get started, grant Dependabot access to some or all of your private repositories on your organization's security & analysis settings page:
https://github.com/organizations/YOUR-ORGANIZATION/settings/security_analysis.
Learn more about Dependabot version updates.
Dependabot private registry support public beta
Dependabot can now access dependencies from authenticated private registries, such as GitHub Packages, Azure Artifacts, and Artifactory. These private registries are similar to their public equivalents, but they require authentication and are only available to members of your team or company. With this release, Dependabot version updates can help keep inner source as up-to-date as open source.
To enable this feature, add a registries section to your dependabot.yml, reference your new registries in the relevant updates, and add any secrets to Dependabot's secret store.
This complements your ability to give Dependabot version updates access to private repositories, which is common for ecosystems like go modules and npm.
whenever this workflow runs on a PR that was issued by Dependabot - it fails as Dependabot PRs don't have the same secret access as other pull requests do.
GitHub Actions: Workflows triggered by Dependabot receive dependabot secrets.
GitHub Actions workflows triggered by Dependabot will now be sent the Dependabot secrets.
This change will enable you to pull from private package registries in your CI using the same secrets you have configured for Dependabot to use and will improve how Actions and Dependabot work together.
Learn more about using Actions and Dependabot together.
关于github - 如何将 Dependabot 与私有(private)包一起使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64926515/
我刚收到一个依赖机器人说: Bump three from 0.120.1 to 0.125.0 但是它是否测试这不会破坏我的 repo 协议(protocol)? 它必须在我的 package.js
我们最近从 greenkeeper 切换到 dependabot 以进行依赖项检查,我们注意到 dependabot 正在打开 PR,只更改 package-lock.json,而 package.j
这是我的 dependabot 配置,有什么方法可以排除主要版本更新而只有次要更新、补丁和安全更新吗?如果是这样,我需要更改什么? version: 1 update_configs: - pac
在我今天的一个存储库中,我收到了以下安全通知: The kramdown gem before 2.3.0 for Ruby processes the template option inside
我不确定我的用例是否适合一个 dependabot,所以希望有人能告诉我是否适合,如果适合,请向我指出一些关于如何做我正在做的事情的文档描述: 我想创建的工作流程: 对每个开发者拉取请求运行 depe
我有一个 GitHub 操作,它在 CI 中针对在我的存储库中打开的每个拉取请求运行测试。 作为测试工作流程的一部分,该工作检查了 GitHub 组织中的其他几个存储库(所有这些都是私有(privat
我有一个目录 /experiments在我的 repo 中,其中包含 - 惊喜! - 实验。那些通常自带 package.json其中包括在我进行实验时是最新的依赖项,但现在可能已经过时了。我无意让它
我们已经使用Dependabot和Snyk来检测GitHub托管代码存储库中的漏洞,但它们仅支持我们正在使用的某些当前语言(NodeJS,Java,JavaScript,Kotlin和Swift),所
正如标题所说,在 GitHub 上是否可以手动选择 Dependabot 应针对其打开其 pull 请求的分支? 从我所看到的,它会针对在 repo 设置中设置为主要分支的任何分支打开 PR,但是可以
我需要一些关于 的帮助依赖机器人 .我最近发现了这个惊人的包,但是我的一些存储库需要 的依赖项私有(private)包 ,由我创建并用于我的个人项目。 Dependabot 表示,对于任何使用私有(p
我已经迁移了一个私有(private) GitHub 存储库以使用 new Dependabot (进入 GitHub),现在 Dependabot 徽章在我的 README.md 上显示为非事件状态
我如何在 https://github.com/{user}/{repo}/security/dependabot?page=1&q=is%3Aopen 处获取可用的 Dependabot 警报列表通
我已经按照此处所述为 GitHub Actions 创建了工作流:https://docs.github.com/en/code-security/supply-chain-security/keep
我是一名优秀的程序员,十分优秀!