Configuración de alertas de Dependabot

En este artículo

Permite que se generen Dependabot alerts cuando se encuentre una nueva dependencia vulnerable o malware en uno de tus repositorios.

Acerca de Dependabot alerts para dependencias vulnerables y malware

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.

Dependabot examina el código cuando se agrega una nueva auditoría a GitHub Advisory Database o el grafo de dependencias de los cambios en un repositorio. Cuando se detectan dependencias vulnerables o malware, se generan Dependabot alerts. Para obtener más información, vea «Acerca de las alertas Dependabot».

En los repositorios donde Dependabot security updates están habilitadas, la alerta también puede contener un vínculo a una solicitud de incorporación de cambios para actualizar el manifiesto o el archivo de bloqueo a la versión mínima que resuelve la vulnerabilidad. Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot».

Puedes habilitar o deshabilitar las Dependabot alerts para:

  • Tu cuenta personal
  • Tu repositorio
  • Tu organización

Además, puede usar las reglas de alerta de Dependabot para evaluar automáticamente las alertas, por lo que puede descartar automáticamente las alertas y especificar qué alertas desea que Dependabot abra solicitudes de incorporación de cambios para. Para obtener más información, vea «About Dependabot auto-triage rules».

Administración de las Dependabot alerts para la cuenta personal

Puedes habilitar o deshabilitar las Dependabot alerts para todos los repositorios que pertenezcan a tu cuenta personal.

Habilitación o deshabilitación de las Dependabot alerts para repositorios existentes

  1. En la esquina superior derecha de cualquier página, haga clic en la foto del perfil y, luego, en Settings (Configuración).

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. En la sección "Seguridad" de la barra lateral, haz clic en Análisis y seguridad del código.

  3. En "Seguridad y análisis de código", a la derecha de las Dependabot alerts, haz clic en Deshabilitar todo o Habilitar todo.

  4. Opcionalmente, para habilitar Dependabot alerts de forma predeterminada para los nuevos repositorios que crees, en el cuadro de diálogo, selecciona "Habilitar de forma predeterminada para los nuevos repositorios".

  5. Haz clic en Deshabilitar las Dependabot alerts o Habilitar las Dependabot alerts para deshabilitar o habilitar las Dependabot alerts para todos los repositorios que posees.

Al habilitar las Dependabot alerts para repositorios existentes, los resultados se mostrarán en GitHub en cuestión de minutos.

Habilitación o deshabilitación de las Dependabot alerts para repositorios nuevos

  1. En la esquina superior derecha de cualquier página, haga clic en la foto del perfil y, luego, en Settings (Configuración).

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. En la sección "Seguridad" de la barra lateral, haz clic en Análisis y seguridad del código.

  3. En "Seguridad y análisis de código", a la derecha de las Dependabot alerts, selecciona Habilitar automáticamente para nuevos repositorios.

Administración de las Dependabot alerts para el repositorio

Puedes administrar Dependabot alerts para el repositorio público, privado o interno.

De forma predeterminada, se informa a los usuarios con permisos de escritura, mantenimiento o administración en los repositorios afectados acerca de las nuevas Dependabot alerts. GitHub nunca divulga públicamente las dependencias no seguras de un repositorio. También puedes hacer que las Dependabot alerts sean visibles para más personas o equipos que trabajen en los repositorios que te pertenecen o para los cuales tienes permisos administrativos.

Si habilita las características de seguridad y análisis, GitHub realiza un análisis de solo lectura en el repositorio.

Habilitación o deshabilitación de las Dependabot alerts para un repositorio

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis del código", a la derecha de Dependabot alerts, haz clic en Habilitar para habilitar alertas o en Deshabilitar para deshabilitarlas.

Administración de Dependabot alerts para la organización

Puedes habilitar o deshabilitar Dependabot alerts para algunos o todos los repositorios que pertenezcan a tu organización. Para más información sobre cómo habilitar las características de seguridad en una organización, consulta "Protección de la organización".

Habilitación o deshabilitación de las Dependabot alerts para todos los repositorios existentes

Puedes usar la página de configuración de la organización de "Seguridad y análisis del código" para habilitar Dependabot alerts para todos los repositorios existentes de la organización.

  1. En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. Junto a la organización, haga clic en Settings.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis de código", a la derecha de las Dependabot alerts, haz clic en Deshabilitar todo o Habilitar todo.

  5. Opcionalmente, para habilitar Dependabot alerts de forma predeterminada para los nuevos repositorios en la organización, en el cuadro de diálogo, selecciona "Habilitar de forma predeterminada para los nuevos repositorios".

  6. Haz clic en Deshabilitar las Dependabot alerts o Habilitar las Dependabot alerts para deshabilitar o habilitar las Dependabot alerts para todos los repositorios de la organización.