GitHub Dependabot 现在使用 GITHUB_TOKEN 读取私有注册表,简化了开发人员的依赖管理。
GitHub 宣布对其自动化依赖管理工具 Dependabot 进行重大更新。自 2026 年 6 月 23 日起,Dependabot 现在可以使用 GITHUB_TOKEN 访问私有 GitHub 托管的软件包注册表,无需个人访问令牌 (PAT)。此更改简化了开发人员管理私有依赖项的工作流程。
此更新使 Dependabot 能够自动从 *.pkg.github.com 和 ghcr.io 提取软件包,前提是已通过软件包设置中的“管理操作访问”授予存储库访问权限。根据 GitHub 的说法,此功能适用于 Dependabot 支持的所有软件包生态系统,包括 npm、Maven、RubyGems 和 Docker。
对于开发人员来说,集成此功能非常简单。要授予 Dependabot 所需的权限:
- 导航到您的 GitHub 组织或个人帐户下的软件包设置。
- 在“管理操作访问权限”部分下,添加运行 Dependabot 的存储库并为其分配读取访问权限。
配置完成后,开发人员可以删除 dependabot.yml 文件中任何基于 PAT 的配置,从而降低安全风险和设置复杂性。
对开发人员的影响
此更新标志着 GitHub 在简化和保护供应链管理方面的持续努力又迈出了一步。通过利用 GITHUB_TOKEN,开发人员可以避免与使用私有包的个人访问令牌相关的管理开销和潜在的安全漏洞。
Dependabot 在 2026 年进行了一系列升级,旨在增强其安全性和可用性。今年 3 月初,GitHub 在 Dependabot 警报中引入了针对 npm 依赖项的恶意软件检测,增强了其发现恶意软件包的能力。就在几周前,即 6 月 9 日,GitHub 扩大了 Dependabot 的范围,将 Deno 生态系统纳入其中,反映出这种 JavaScript 运行时的采用率不断上升。
为什么重要
确保软件供应链的安全已成为开发领域的一个关键焦点,特别是在针对开源依赖项的备受瞩目的攻击继续成为头条新闻的情况下。 Dependabot 的新功能不仅提高了安全性,还减少了管理私人包裹的麻烦。通过自动化访问管理,GitHub 将自己定位为开发人员优先的 DevOps 工具的领导者。
对于工程团队来说,此更新意味着更快的依赖项更新和更少的手动步骤,使他们能够专注于构建而不是维护基础设施。投资供应链安全的组织也可能会积极看待它,因为它减少了潜在的代币相关漏洞的表面积。
下一步是什么?
利用 GitHub 托管的注册表的开发人员应检查其当前的 Dependabot 配置并放弃基于 PAT 的设置。此更改虽然是可选的,但符合依赖关系管理和安全性的最佳实践。
展望未来,GitHub 最近推出的功能表明,开发者生态系统内将更广泛地推动整体供应链安全。预计 Dependabot 和相关工具将得到进一步增强,特别是为了应对不断演变的安全威胁和日益复杂的软件依赖项。