Общие сведения о типах секретов GitHub

Сведения об использовании, области и разрешениях доступа для секретов GitHub .

В этой статье

Секреты Dependabot

Секреты Dependabot используются для хранения учетных данных и конфиденциальной информации для использования в Dependabot.

Секреты Dependabot ссылаются в файле репозитория dependabot.yml .

Usage

Секреты Dependabot обычно используются Dependabot для проверки подлинности в частных реестрах пакетов. Это позволяет Dependabot открывать запросы на вытягивание для обновления уязвимых или устаревших зависимостей в частных репозиториях. Используется для проверки подлинности, эти секреты Dependabot ссылаются в файле репозитория dependabot.yml .

Секреты Dependabot также могут включать секреты, необходимые для рабочих процессов, инициированных Dependabot. Например, Dependabot может активировать рабочие процессы GitHub Actions при создании запросов на вытягивание для обновления зависимостей или комментариев по запросу на вытягивание. В этом случае секреты Dependabot можно ссылаться из файлов рабочего процесса (.github/workflows/*.yml), пока рабочий процесс активируется событием Dependabot.

Scope

Вы можете определить секреты Dependabot по адресу:

  • Уровень репозитория
  • Уровень организации

Секреты Dependabot можно совместно использовать в репозиториях при установке на уровне организации. Необходимо указать, какие репозитории в организации могут получить доступ к секрету.

Права доступа

Доступ к секретам Dependabot обращается Dependabot при проверке подлинности в частных реестрах для обновления зависимостей.

Доступ к секретам Dependabot осуществляется рабочими процессами GitHub Actions при инициировании события триггера Dependabot. Это связано с тем, что, когда рабочий процесс инициируется Dependabot, доступны только секреты Dependabot — секреты действий недоступны. Поэтому все секреты, необходимые для этих рабочих процессов, должны храниться как секреты Dependabot, а не секреты действий. Для события существуют дополнительные ограничения pull_request_target безопасности. См . ограничения и ограничения.

Разрешения доступа пользователей

Секреты уровня репозитория:

  • Пользователи с доступом администратора к репозиторию могут создавать секреты Dependabot и управлять ими.
  • Пользователи с доступом** к репозиторию могут **использовать секрет для Dependabot.

Секреты уровня организации: * Владельцы организации могут создавать секреты Dependabot и управлять ими.

  • Пользователи с доступом** к репозиториям с **доступом к каждому секрету могут использовать секрет для Dependabot.

Ограничения и запреты

Для рабочих процессов, инициированных Dependabot, pull_request_target событие обрабатывается по-разному для других событий. Для этого события, если базовый ссылочный запрос на вытягивание был создан Dependabot (github.event.pull_request.user.login == 'dependabot[bot]'):

  • Рабочий процесс получает доступ только для GITHUB_TOKENчтения.
  • Секреты недоступны для рабочего процесса.

Это дополнительное ограничение помогает предотвратить потенциальные риски безопасности, которые могут возникнуть из запросов на вытягивание, созданных Dependabot.

Секреты Dependabot не передаются в вилки.

Действия с секретами

Секреты действий используются для хранения конфиденциальных данных, таких как ключи API, маркеры проверки подлинности и другие учетные данные в рабочих процессах.

Usage

Секреты действий ссылаются на файлы рабочих процессов (.github/workflows/*.yml).

Scope

Вы можете определить секреты действий по адресу:

  • Уровень репозитория
  • Уровень среды
  • Уровень организации

Секреты уровня среды зависят от конкретной среды, например рабочей или промежуточной среды. Секреты действий можно совместно использовать в репозиториях, если задано на уровне организации. Политики доступа можно использовать для управления доступом к секрету репозиториям.

Права доступа

Секреты действий доступны только в рабочих процессах GitHub Actions . Несмотря на выполнение действий, Dependabot не имеет доступа к секретам действий.

Для рабочих процессов, инициированных Dependabot, секреты действий недоступны. Эти секреты рабочего процесса должны храниться как секреты Dependabot для доступа к рабочему процессу.

Расположение, в котором хранится секрет Actions, определяет его специальные возможности:

  • Секрет репозитория: все рабочие процессы в репозитории могут получить доступ к секрету.
  • Секрет среды: секрет ограничен заданиями, ссылающимися на определенную среду.
  • Секрет организации: все рабочие процессы в репозиториях, которым предоставлен доступ организации, могут получить доступ к секретам организации.

Разрешения доступа пользователей

Секреты уровня репозитория и среды:

  • Пользователи с доступом администратора к репозиторию могут создавать секреты действий и управлять ими.
  • Пользователи с доступом** к репозиторию могут **использовать секрет.

Секреты уровня организации: * Владельцы организации могут создавать секреты действий и управлять ими.

  • Пользователи с доступом к репозиториям с доступом к каждому секрету могут использовать секрет.

Ограничения и запреты

  • Секреты действий недоступны для рабочих процессов, инициированных Dependabot.
  • Секреты действий не передаются рабочим процессам, которые активируются запросом на вытягивание из вилки.
  • GitHub Actions автоматически редактирует содержимое всех секретов GitHub , которые печатаются в журналах рабочих процессов.
  • Можно хранить до 1000 секретов организации, 100 секретов репозитория и 100 секретов среды. Секреты ограничены размером 48 КБ. Дополнительные сведения см. в разделе "Ограничения для секретов".

Дополнительные материалы

  •         [AUTOTITLE](/code-security/dependabot/working-with-dependabot/configuring-access-to-private-registries-for-dependabot#storing-credentials-for-dependabot-to-use)

  •         [AUTOTITLE](/actions/security-for-github-actions/security-guides/using-secrets-in-github-actions)