😽
DependabotがGitHub Secretsにアクセスすることを許可する
不具合概要
Dependabot を利用すればライブラリの自動アップデートが可能。
ただし、DependabotにはGitHub Secretsにアクセスする権限がないので、
GitHub workflowでsecretsを参照する処理があるとアクセスエラーになる問題がある。
これを対処する。
解決方法
上記 Issue の通り。
今回のケースだとプライベートリポジトリが対象なので、forkされる心配がない。
このため、単に on: pull_request
を on: pull_request_target
に変更すればよい。
pull_request_target を利用すれば secrets へのアクセスも許可される。
当然それに伴うリスクもあるので要注意。
Discussion