😽

DependabotがGitHub Secretsにアクセスすることを許可する

2022/04/02に公開

不具合概要

Dependabot を利用すればライブラリの自動アップデートが可能。
ただし、DependabotにはGitHub Secretsにアクセスする権限がないので、
GitHub workflowでsecretsを参照する処理があるとアクセスエラーになる問題がある。
これを対処する。

上記 Issue の通り。
今回のケースだとプライベートリポジトリが対象なので、forkされる心配がない。
このため、単に on: pull_request を on: pull_request_target に変更すればよい。

pull_request_target を利用すれば secrets へのアクセスも許可される。
当然それに伴うリスクもあるので要注意。