Dependabot 现在支持 OIDC 身份验证

Source: GitHub Changelog

新功能

Dependabot 现在可以使用 OpenID Connect（OIDC）对私有注册表进行身份验证，从而无需将长期有效的凭证存储为仓库机密。

通过基于 OIDC 的身份验证，Dependabot 更新作业可以像使用 OIDC 联合身份验证 的 GitHub Actions 工作流一样，从您的云身份提供商动态获取短期凭证。

支持的注册表

• AWS CodeArtifact
• Azure DevOps Artifacts
• JFrog Artifactory

好处

• 增强安全性： 消除仓库中的静态长期凭证。短期、动态生成的令牌可降低运维负担和攻击面。
• 更简化的管理： 实现对私有注册表的安全、符合策略的访问。
• 避免速率限制： 动态凭证帮助您规避因静态令牌导致的速率限制。

入门指南

要为私有注册表启用 OIDC 身份验证，请在 dependabot.yml 配置中为受支持的注册表使用新的 OIDC 身份验证类型。有关设置说明和示例，请参阅我们的私有注册表配置文档。

# dependabot.yml
version: 2
updates:
  - package-ecosystem: npm
    directory: "/"
    schedule:
      interval: weekly
    registries:
      my-registry:
        type: oci
        url: https://my.private.registry
        # Additional OIDC configuration as described in the docs

了解更多

• 为 Dependabot 配置私有注册表访问权限
• 关于 OpenID Connect