Guía de inicio rápido de Dependabot

Puedes usar Dependabot para que te avise cuando el repositorio use una dependencia de software con una vulnerabilidad conocida. Esta guía te ayudará a empezar a habilitar Dependabot para un repositorio y a explorar las alertas notificadas.

¿Quién puede utilizar esta característica?

Dependabot alerts son gratis para todos los repositorios de GitHub.com. Las funcionalidades avanzadas, como la capacidad de crear reglas de evaluación de prioridades automática personalizadas para Dependabot alerts, solo están disponibles (de forma gratuita) en repositorios públicos.

En este artículo

Acerca de Dependabot

Este inicio rápido te guiará por la configuración y habilitación de Dependabot y la visualización de Dependabot alerts y actualizaciones de un repositorio.

Dependabot consta de tres características diferentes que te ayudan a administrar las dependencias:

  • Dependabot alerts: te informa sobre las vulnerabilidades de las dependencias que usas en el repositorio.
  • Dependabot security updates: genera automáticamente solicitudes de incorporación de cambios para actualizar las dependencias que usas que tienen vulnerabilidades de seguridad conocidas.
  • Dependabot version updates: levanta solicitudes de cambios automáticamente para mantener actualizadas tus dependencias.

Requisitos previos

Para este propósito, vamos a usar un repositorio de demostración para ilustrar cómo Dependabot encuentra vulnerabilidades en las dependencias, donde puede ver Dependabot alerts en GitHub y cómo puede explorar, corregir o descartar estas alertas.

Para empezar, debe bifurcar el repositorio de demostración.

  1. Vaya a https://github.com/dependabot/demo.
  2. En la parte superior de la página, a la derecha, haz clic en Bifurcación.
  3. Selecciona un propietario (puedes seleccionar la cuenta personal de GitHub) y escribir un nombre de repositorio. Para más información sobre los repositorios de plantillas, consulta "Bifurcar un repositorio".
  4. Haz clic en Crear bifurcación.

Administración de Dependabot para el repositorio

Debes seguir los pasos siguientes en el repositorio que bifurcó en "Requisitos previos".

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis de código", a la derecha de Dependabot alerts, haz clic en Habilitar para Dependabot alerts, Dependabot security updates y Dependabot version updates.

  5. Opcionalmente, si estás interesado en experimentar con Dependabot version updates, haz clic en .github/dependabot.yml. Esto creará un archivo de configuración dependabot.yml en el directorio /.github del repositorio. Para habilitar Dependabot version updates para el repositorio, normalmente configuras este archivo para que se adapte a tus necesidades editando el archivo predeterminado y confirmando los cambios. Puedes hacer referencia al fragmento de código proporcionado en "Configuración de las actualizaciones de versiones de Dependabot" para obtener un ejemplo.

Nota: Si el gráfico de dependencias aún no está habilitado para el repositorio, GitHub lo habilitará automáticamente al habilitar Dependabot.

Para obtener más información sobre cómo configurar cada una de estas características de Dependabot, consulta "Configuración de alertas de Dependabot", "Configuración de actualizaciones de seguridad de Dependabot" y "Configuración de las actualizaciones de versiones de Dependabot".

Visualización de Dependabot alerts para el repositorio

Si las Dependabot alerts están habilitadas para un repositorio, puedes ver las Dependabot alerts en la pestaña "Seguridad" del repositorio. Puedes usar el repositorio bifurcado en el que habilitó Dependabot alerts en la sección anterior.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral "Alertas de vulnerabilidad" de la Información general sobre seguridad, haga clic en Dependabot . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio".

    Captura de pantalla de la información general de seguridad, con la pestaña "Dependabot" resaltada con un contorno naranja oscuro.

  4. Revisa las alertas abiertas en la página Dependabot alerts. De forma predeterminada, la página muestra la pestaña Abrir y muestra las alertas abiertas. (Podrás ver las alertas cerradas haciendo clic en Cerrado).

    Captura de pantalla que muestra la lista de alertas de Dependabot para el repositorio de demostración.

    Puede filtrar Dependabot alerts en la lista, con una variedad de filtros o etiquetas. Para más información, consulta «Visualización y actualización de alertas de Dependabot». También puede usar las reglas de alerta de Dependabot para filtrar falsas alertas positivas o alertas que no te interesen. Para más información, consulta "Acerca de Evaluación de prioridades automática de Dependabot".

  5. Haga clic en la alerta "Inserción de comandos en lodash" en el archivo javascript/package-lock.json. La página de detalles de la alerta mostrará la siguiente información (ten en cuenta que es posible que alguna información no se aplique a todas las alertas):

    • Si Dependabot crearon una solicitud de incorporación de cambios que corregirá la vulnerabilidad. Para revisar la actualización de seguridad sugerida, haz clic en Revisar actualización de seguridad.
    • Paquete implicado
    • Versiones afectadas
    • Versión revisada
    • Breve descripción de la vulnerabilidad

    Captura de pantalla de la página detallada de una alerta en el repositorio de demostración, en la que se muestra la información principal.

  6. Opcionalmente, también puedes explorar la información en el lado derecho de la página. Es posible que parte de la información que se muestra en la captura de pantalla no se aplique a todas las alertas.

    • severity
    • Métricas de CVSS: usamos niveles de CVSS para asignar niveles de gravedad. Para obtener más información, vea «Acerca de GitHub Advisory Database».
    • Etiquetas
    • Puntos débiles: lista de CWE relacionados con la vulnerabilidad, si procede
    • Id. de CVE: identificador de CVE único para la vulnerabilidad, si procede
    • Id. de GHSA: identificador único del aviso correspondiente en GitHub Advisory Database. Para obtener más información, vea «Acerca de GitHub Advisory Database».
    • Opción para navegar al aviso sobre GitHub Advisory Database
    • Opción para ver todos los repositorios afectados por esta vulnerabilidad
    • Opción para sugerir mejoras para este aviso sobre GitHub Advisory Database

    Captura de pantalla de la página detallada de una alerta en el repositorio de demostración, en la que se muestra la información que se muestra en el lado derecho de la página.

Para más información sobre la visualización, priorización y ordenación Dependabot alerts, consulta "Visualización y actualización de alertas de Dependabot".

Corrección o descarte de una alerta de Dependabot

Puedes corregir o descartar las Dependabot alerts en GitHub. Vamos a seguir usando el repositorio bifurcado como ejemplo y la alerta "Inserción de comandos en lodash" descrita en la sección anterior.

  1. Ve a la pestaña Dependabot alerts del repositorio. Para más información, consulte la sección "Visualización de Dependabot alerts para el repositorio" anterior.
  2. Haga clic en una alerta.
  3. Haga clic en la alerta "Inserción de comandos en lodash" en el archivo javascript/package-lock.json.
  4. Revisa la alerta. Puede:

    • Revisa la actualización de seguridad sugerida haciendo clic en Revisión de la actualización de seguridad. Se abrirá la solicitud de incorporación de cambios generada por Dependabot con la corrección de seguridad.

      Captura de pantalla de la solicitud de incorporación de cambios generada por Dependabot para corregir la vulnerabilidad de seguridad resaltada por la alerta seleccionada.

      • En la descripción de la solicitud de incorporación de cambios, puedes hacer clic en Confirmaciones para explorar las confirmaciones incluidas en la solicitud de incorporación de cambios.
      • También puedes hacer clic en los comandos y opciones de Dependabot para obtener información sobre los comandos que puedes usar para interactuar con la solicitud de incorporación de cambios.
      • Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

    • Si decides que quieres descartar la alerta

      • Vuelve a la página de detalles de la alerta.

      • En la esquina superior derecha, haz clic en Descartar alerta.

        Captura de pantalla de la página de detalles de la alerta con el botón Descartar alerta, las opciones del menú desplegable y el cuadro de comentarios de descarte resaltados con un contorno naranja oscuro.

      • Selecciona un motivo para descartar la alerta.

      • Opcionalmente, agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes.

      • Haz clic en Descartar alerta. La alerta ya no aparecerá en la pestaña Abierto de la lista de alertas y podrás verla en la pestaña Cerrado.

Para más información sobre Dependabot alerts, consulta "Visualización y actualización de alertas de Dependabot".

Solución de problemas

Es posible que tengas que realizar alguna solución de problemas si:

  • Dependabot no puede crear una solicitud de incorporación de cambios para corregir una alerta o
  • La información notificada por Dependabot no es lo que espera.

Para más información, consulta "Solucionar problemas de los errores del Dependabot" y "Solucionar problemas en la detección de dependencias vulnerables", respectivamente.

Pasos siguientes

Para más información sobre cómo configurar las actualizaciones de Dependabot, consulta "Configuración de actualizaciones de seguridad de Dependabot" y "Configuración de las actualizaciones de versiones de Dependabot".

Para más información sobre cómo configurar Dependabot para una organización, consulta "Configuración de alertas de Dependabot.

Para más información sobre cómo ver las solicitudes de incorporación de cambios abiertas por Dependabot, consulta "Administrar las solicitudes de extracción para las actualizaciones de dependencia".

Para más información sobre los avisos de seguridad que contribuyen a Dependabot alerts, consulta "Exploración de los avisos de seguridad en GitHub Advisory Database".

Para más información sobre cómo configurar las notificaciones sobre Dependabot alerts, consulta "Configuración de notificaciones para alertas de Dependabot".