Dependabot Secrets
Dependabot les secrets sont utilisés pour stocker les informations d’identification et les informations sensibles à utiliser dans Dependabot.
Dependabot les secrets sont référencés dans le fichier d’un `dependabot.yml` référentiel.
Usage
Dependabot les secrets sont généralement utilisés pour Dependabot s’authentifier auprès des registres de paquets privés. Cela permet à Dependabot d’ouvrir des pull requests pour mettre à jour les dépendances vulnérables ou obsolètes dans les référentiels privés. Utilisés pour l’authentification, ces Dependabot secrets sont référencés dans le fichier d’un `dependabot.yml` référentiel.
Dependabot les secrets peuvent également inclure des secrets requis pour les flux de travail initiés par Dependabot. Par exemple, Dependabot peut déclencher GitHub Actions des flux de travail lors de la création de pull requests pour la mise à jour des dépendances, ou lorsque des commentaires sont ajoutés à des pull requests. Dans ce cas, Dependabot les secrets peuvent être référencés à partir de fichiers de flux de travail (`.github/workflows/*.yml`) tant que le flux de travail est déclenché par un Dependabot événement.
Scope
Vous pouvez définir des Dependabot secrets à l’adresse suivante :
-
Au niveau du dépôt
-
Au niveau de l’organisation
Dependabot les secrets peuvent être partagés entre les référentiels lorsqu’ils sont définis au niveau de l’organisation. Vous devez spécifier les dépôts dans l’organisation qui peuvent accéder au secret.
Autorisations d'accès
Dependabot les secrets sont accessibles lors de Dependabot l’authentification auprès de registres privés pour mettre à jour les dépendances.
Dependabot les secrets sont accessibles par GitHub Actions les flux de travail lorsque l’événement de déclencheur du flux de travail est initié par Dependabot. Cela est dû au fait qu’un flux de travail est initié par Dependabot, seuls Dependabot les secrets sont disponibles : les secrets Actions ne sont pas accessibles. Par conséquent, tous les secrets requis pour ces flux de travail doivent être stockés en tant que Dependabot secrets, plutôt que comme secrets utilisés par les Actions. Il existe des restrictions de sécurité supplémentaires pour l’événement `pull_request_target`. Consultez [Limitations et restrictions](#limitations-and-restrictions).
Autorisations d’accès utilisateur
Secrets au niveau du dépôt :
- Les utilisateurs disposant d’un accès administrateur au référentiel peuvent créer et gérer des Dependabot secrets.
- Les utilisateurs disposant d’un accès collaborateur au référentiel peuvent utiliser le secret pour Dependabot.
Secrets au niveau de l’organisation :
- Les propriétaires d’organisations peuvent créer et gérer des Dependabot secrets.
- Les utilisateurs disposant d’un accès collaborateur aux référentiels ayant accès à chaque secret peuvent utiliser le secret pour Dependabot.
Limitations et restrictions
Pour les flux de travail initiés par Dependabot, l’événement pull_request_target est traité différemment des autres événements. Pour cet événement, si le base ref de la pull request a été créé par Dependabot (github.event.pull_request.user.login == 'dependabot[bot]') :
- Le workflow reçoit un
GITHUB_TOKENen lecture seule. - Les secrets ne sont pas disponibles pour le workflow.
Cette restriction supplémentaire aide à prévenir les risques de sécurité potentiels pouvant survenir des pull requests créées par Dependabot.
Dependabot les secrets ne sont pas passés aux branches.
Secrets pour les actions
Les secrets Actions sont utilisés pour stocker des informations sensibles, telles que les clés API, les jetons d’authentification et d’autres informations d’identification, dans les workflows.
Usage
Les secrets Actions sont référencés dans les fichiers de workflow (.github/workflows/*.yml).
Scope
Vous pouvez définir des secrets Actions :
- Au niveau du dépôt
- Au niveau de l’environnement
- Au niveau de l’organisation
Les secrets au niveau de l’environnement sont propres à un environnement particulier, tel que la production ou la préproduction. Les secrets Actions peuvent être partagés entre les dépôts s’ils sont définis au niveau de l’organisation. Vous pouvez utiliser des stratégies d’accès pour contrôler les dépôts qui ont accès au secret.
Autorisations d'accès
Les secrets d’actions sont disponibles uniquement dans GitHub Actions les flux de travail. En dépit de l’exécution sur Actions, Dependabot n’a pas accès aux secrets des Actions.
Pour les flux de travail initiés par Dependabot, les secrets Actions ne sont pas disponibles. Ces secrets de flux de travail doivent être stockés en tant que Dependabot secrets afin d’être accessibles au flux de travail.
L’emplacement où vous stockez le secret Actions détermine son accessibilité :
- Secret de dépôt : tous les workflows du dépôt peuvent accéder au secret.
- Secret d’environnement : le secret est limité aux travaux faisant référence à cet environnement particulier.
- Secret d’organisation : tous les workflows des dépôts qui ont obtenu l’accès par l’organisation peuvent accéder aux secrets d’organisation.
Autorisations d’accès utilisateur
Secrets au niveau du dépôt et secrets d’environnement :
- Les utilisateurs disposant d’un accès administrateur au dépôt peuvent créer et gérer les secrets Actions.
- Les utilisateurs disposant d’un accès collaborateur au dépôt peuvent utiliser le secret.
Secrets au niveau de l’organisation :
- Les propriétaires d’organisation peuvent créer et gérer les secrets Actions.
- Les utilisateurs disposant d’un accès collaborateur aux dépôts ayant accès à chaque secret peuvent utiliser le secret.
Limitations et restrictions
- Les secrets d’actions ne sont pas disponibles pour les flux de travail initiés par Dependabot.
- Les secrets Action ne sont pas transmis aux workflows qui sont déclenchés par une demande de tirage provenant d’une duplication (fork).
- GitHub Actions expurge automatiquement le contenu de tous les secrets imprimés dans les GitHub journaux de flux de travail.
- Vous pouvez stocker jusqu’à 1 000 secrets d’organisation, 100 secrets de dépôt et 100 secrets d’environnement. La taille des secrets est limitée à 48 Ko. Pour plus d’informations, consultez Limites pour les secrets.