😽

DependabotがGitHub Secretsにアクセスすることを許可する

2022/04/02に公開

不具合概要

Dependabot を利用すればライブラリの自動アップデートが可能。
ただし、DependabotにはGitHub Secretsにアクセスする権限がないので、
GitHub workflowでsecretsを参照する処理があるとアクセスエラーになる問題がある。
これを対処する。

https://github.com/dependabot/dependabot-core/issues/3253

解決方法

上記 Issue の通り。
今回のケースだとプライベートリポジトリが対象なので、forkされる心配がない。
このため、単に on: pull_requeston: pull_request_target に変更すればよい。

pull_request_target を利用すれば secrets へのアクセスも許可される。
当然それに伴うリスクもあるので要注意。

https://github.blog/changelog/2021-02-19-github-actions-workflows-triggered-by-dependabot-prs-will-run-with-read-only-permissions/

https://securitylab.github.com/research/github-actions-preventing-pwn-requests/

Discussion