Uso de reglas preestablecidas de GitHub para priorizar las alertas de Dependabot

Puede usar Valores preestablecidos de GitHub, que son reglas mantenidas por GitHub para descartar automáticamente las alertas de desarrollo de bajo impacto para las dependencias de npm.

¿Quién puede utilizar esta característica?

People with write permissions can view Evaluación de prioridades automática de Dependabot for the repository. People with admin permissions to a repository can enable or disable Valores preestablecidos de GitHub for the repository. Organization owners and security managers can enable or disable Valores preestablecidos de GitHub at the organization-level and optionally choose to enforce rules for repositories in the organization.

En este artículo

Nota: Las Evaluación de prioridades automática de Dependabot se encuentran actualmente en versión beta y están sujetas a cambios.

Acerca de Valores preestablecidos de GitHub

La regla Dismiss low impact issues for development-scoped dependencies es una GitHub prestablecida que descarta automáticamente determinados tipos de vulnerabilidades que se encuentran en las dependencias de npm usadas en el desarrollo. Estas alertas incluyen casos que se perciben como falsas alarmas para la mayoría de los desarrolladores ya que las vulnerabilidades asociadas:

  • Es poco probable que se puedan infringir en un entorno de desarrollo (uno que no es de producción o en tiempo de ejecución).
  • Pueden estar relacionadas con problemas de administración de recursos, programación y lógica y divulgación de información.
  • En el peor de los casos, tienen efectos limitados, como compilaciones lentas o pruebas de larga duración.
  • No son indicativas de problemas en producción.

Nota: La eliminación automática de alertas de desarrollo de bajo impacto solo se admite actualmente para npm.

La regla Dismiss low impact issues for development-scoped dependencies incluye vulnerabilidades relacionadas con problemas de administración de recursos, programación y lógica, y problemas de divulgación de información. Para más información, consulte “Enumeración de puntos débiles divulgados públicamente que son empleados por la Dismiss low impact issues for development-scoped dependenciesregla”.

Filtrar estas alertas de bajo impacto permite centrarse en las alertas que son importantes, sin tener que preocuparse por pasar por alto posibles alertas de alto riesgo relacionadas con el desarrollo.

La regla Dismiss low impact issues for development-scoped dependencies está habilitada de manera predeterminada para los repositorios públicos e inhabilitada para los repositorios privados. Los administradores de repositorios privados pueden optar por habilitar las reglas para su repositorio.

Habilitación de la regla Dismiss low impact issues for development-scoped dependencies para su repositorio privado

Primero tienes que habilitar las Dependabot alerts para el repositorio. Para más información, consulta "Configuración de alertas de Dependabot. El propietario de la empresa puede habilitar o deshabilitar las

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En “Dependabot alerts”, haga clic en junto a reglas “Dependabot”.

    Captura de pantalla de la página "Seguridad y análisis del código" de un repositorio. El icono de engranaje aparece resaltado con un contorno naranja.

  5. En "valores preestablecidos de GitHub", a la derecha de "Descartar problemas de bajo impacto para las dependencias con ámbito de desarrollo", haga clic en .

  6. En "Estado", seleccione el menú desplegable y haga clic en "Habilitado".

  7. Haga clic en Guardar regla.

Enumeración de puntos débiles (CWE) divulgados públicamente por la Dismiss low impact issues for development-scoped dependencies regla

Junto con los metadatos de alerta ecosystem:npm y scope:development, se usan las siguientes enumeraciones de puntos débiles mantenidas por GitHub para filtrar las alertas de impacto bajo de la regla Dismiss low impact issues for development-scoped dependencies. Mejoramos periódicamente esta lista y los patrones de vulnerabilidad incluidos en las reglas integradas.

Problemas de administración de recursos

  • CWE-400: Consumo de recursos no controlado
  • CWE-770: Asignación de recursos sin límites ni limitaciones
  • CWE-409: Control incorrecto de datos muy comprimidos (amplificación de datos)
  • CWE-908: Uso de recursos sin inicializar
  • CWE-1333: Complejidad ineficaz de expresiones regulares
  • CWE-835: Bucle con condición de salida inaccesible ("Bucle infinito")
  • CWE-674: Recursividad no controlada
  • CWE-1119: Uso excesivo de bifurcación incondicional

Errores de programación y lógica

  • CWE-185: Expresión regular incorrecta
  • CWE-754: Comprobación incorrecta de condiciones inusuales o excepcionales
  • CWE-755: Control incorrecto de condiciones excepcionales
  • CWE-248: Excepción no detectada
  • CWE-252: Valor devuelto desactivado
  • CWE-391: Condición de error desactivada
  • CWE-696: Orden de comportamiento incorrecto
  • CWE-1254: Granularidad de la lógica de comparación incorrecta
  • CWE-665: Inicialización incorrecta
  • CWE-703: Comprobación o control incorrecto de condiciones excepcionales
  • CWE-178: Control incorrecto de la distinción entre mayúsculas y minúsculas

Problemas de divulgación de información

  • CWE-544: Falta el mecanismo de control de errores estandarizado
  • CWE-377: Archivo temporal no seguro
  • CWE-451: La interfaz de usuario tergiversa información crítica
  • CWE-668: Exposición del recurso a una esfera incorrecta