Acerca de reglas de evaluación de prioridades automática personalizadas
Puede crear sus propias Evaluación de prioridades automática de Dependabot en función de los metadatos de alerta. Puede optar por descartar automáticamente las alertas indefinidamente o posponer alertas hasta que una revisión esté disponible y puede especificar qué alertas desea que Dependabot abra solicitudes de incorporación de cambios para.
Dado que las reglas que cree se aplican a las alertas futuras y actuales, también puede usar reglas de evaluación de prioridades automática para administrar sus Dependabot alerts de forma masiva.
Los administradores del repositorio pueden crear reglas de evaluación de prioridades automática personalizadas para sus repositorios public.
Los propietarios de la organización y los administradores de seguridad pueden establecer reglas de evaluación de prioridades automática personalizadas en el nivel de organización y, a continuación, elegir si se aplica o habilita una regla en todos los repositorios públicos de la organización.
- Reforzado: si una regla de nivel de organización es "aplicada", los administradores del repositorio no pueden editar, deshabilitar ni eliminar la regla.
- Habilitado: si una regla de nivel de organización está "habilitada", los administradores del repositorio todavía pueden deshabilitar la regla para su repositorio.
Note
En caso de que una regla de nivel de organización y una regla de nivel de repositorio especifiquen comportamientos conflictivos, tiene prioridad la acción establecida por la regla de nivel de organización. Las reglas de descarte siempre actúan antes de las reglas que desencadenan las solicitudes de incorporación de cambios de Dependabot.
Puede crear reglas para dirigir las alertas mediante los metadatos siguientes:
- ID. de CVE
- CWE
- Ámbito de dependencia (
devDependency
oruntime
) - Ecosistema
- IDENTIFICADOR DE GHSA
- Ruta de acceso del manifiesto (solo para reglas de nivel de repositorio)
- Nombre del paquete
- Disponibilidad de revisiones
- Gravedad
Comprender cómo interactúan reglas de evaluación de prioridades automática personalizadas y Dependabot security updates
Puede usar reglas de evaluación de prioridades automática personalizadas para personalizar para qué alertas desea que Dependabot abra solicitudes de cambios. Sin embargo, para que una regla de "abrir una solicitud de extracción" surta efecto, debe asegurarse de que Dependabot security updates están deshabilitados para el repositorio (o repositorios) al que debe aplicarse la regla.
Cuando Dependabot security updates están habilitados para un repositorio, Dependabot intentará abrir automáticamente solicitudes de incorporación de cambios para resolver cada alerta abierta de Dependabot que tenga una revisión disponible. Si prefiere personalizar este comportamiento mediante una regla, debe dejar Dependabot security updates deshabilitado.
Para obtener más información sobre cómo habilitar o deshabilitar Dependabot security updates para un repositorio, consulta Configuración de actualizaciones de seguridad de Dependabot.
Agregar reglas de evaluación de prioridades automática personalizadas al repositorio
Note
Durante la versión preliminar pública, puedes crear hasta 10 reglas de evaluación de prioridades automática personalizadas para un repositorio.
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Security" de la barra lateral, haz clic en Code security.
-
En “Dependabot alerts”, haga clic en junto a reglas “Dependabot”.
-
Haga clic en Nueva regla.
-
En “Nombre de la regla”, describa lo que hará esta regla.
-
En "Estado", use el menú desplegable para seleccionar si la regla debe estar habilitada o deshabilitada para el repositorio.
-
En "Alertas objetivo", seleccione los metadatos que desea utilizar para filtrar las alertas.
-
En “Reglas”, seleccione la acción que desea realizar en las alertas que coincida con los metadatos:
- Seleccione Descartar alertas para descartar automáticamente las alertas que coincidan con los metadatos. Puede optar por descartar las alertas indefinidamente o posponer alertas hasta que haya una revisión disponible.
- Seleccione Abrir una solicitud de incorporación de cambios para resolver esta alerta si desea que Dependabot sugiera cambios para resolver alertas que coincidan con los metadatos de destino. Tenga en cuenta que esta opción no está disponible si ya ha seleccionado la opción para descartar alertas indefinidamente o si Dependabot security updates está habilitado en la configuración del repositorio.
-
Haga clic en Crear regla.
Agregar reglas de evaluación de prioridades automática personalizadas a la organización
Puedes agregar reglas de evaluación de prioridades automática personalizadas para todos los repositorios aptos de la organización. Para más información, consulta Configuración de seguridad global para su organización.
Editar o eliminar reglas de evaluación de prioridades automática personalizadas del repositorio
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Security" de la barra lateral, haz clic en Code security.
-
En “Dependabot alerts”, haga clic en junto a reglas “Dependabot”.
-
En "Reglas de repositorio", a la derecha de la regla que desea editar o eliminar, haga clic en .
-
Para editar la regla, haz los cambios en los campos aplicables y, a continuación, haz clic en Guardar regla.
-
Para eliminar la regla, en "Zona de peligro", haga clic en Eliminar regla.
-
En el campo "¿Está seguro de que desea eliminar esta regla?" cuadro de diálogo, revise la información y haga clic en Eliminar regla.
Editar o eliminar reglas de evaluación de prioridades automática personalizadas de la organización
Puedes editar o eliminar reglas de evaluación de prioridades automática personalizadas para todos los repositorios aptos de la organización. Para más información, consulta Configuración de seguridad global para su organización.