Skip to main content

Configuración de actualizaciones de seguridad de Dependabot

Puedes utilizar las Dependabot security updates o las solicitudes de extracción manuales para actualizar fácilmente las dependencias vulnerables.

Acerca de la configuración de las Dependabot security updates

Puedes habilitar las Dependabot security updates para cualquier repositorio que utilice Dependabot alerts y la gráfica de dependencias. Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot».

Puedes habilitar o deshabilitar Dependabot security updates para un único repositorio o para todos los repositorios propiedad de tu cuenta personal u organización. Para más información sobre cómo habilitar características de seguridad en una organización, consulta "Protección de la organización".

Nota: Cuando Dependabot security updates están habilitados para un repositorio, Dependabot intentará abrir automáticamente solicitudes de incorporación de cambios para resolver cada alerta abierta de Dependabot que tenga una revisión disponible. Si prefieres personalizar para qué alertas Dependabot abre solicitudes de incorporación de cambios, deberás dejar deshabilitado y crear una regla de autoevaluación de prioridades. Para obtener más información, vea «Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot».

Dependabot y todas las características relacionadas están sujetas por los Términos del servicio de GitHub. El acuerdo de licencia abarca

Repositorios compatibles

GitHub habilita automáticamente Dependabot security updates para repositorios recién creados si la cuenta personal o la organización ha habilitado Habilitar automáticamente para los nuevos repositorios para Dependabot security updates. Para obtener más información, consulta "Administración de Dependabot security updates para los repositorios".

Si creas una bifurcación de un repositorio que tiene habilitadas las actualizaciones de seguridad, GitHub deshabilitará automáticamente Dependabot security updates para la bifurcación. Después, puedes decidir si quieres habilitar Dependabot security updates en la bifurcación específica.

Si no se habilitan las actualizaciones de seguridad para tu repositorio y no sabes por qué, intenta primero habilitarles de acuerdo con las instrucciones que se encuentran en los procedimientos siguientes. Si las actualizaciones de seguridad aún no funcionan, puedes contactar al con nosotros a través del Soporte técnico de GitHub.

Administrar las Dependabot security updates para tus repositorios

Puedes habilitar o deshabilitar Dependabot security updates para todos los repositorios aptos que pertenezcan a tu cuenta personal u organización. Para más información, consulta "Administración de la configuración de seguridad y análisis para la cuenta personal" o "Administrar la configuración de seguridad y análisis de su organización".

También puedes habilitar o inhabilitar Dependabot security updates para un repositorio individual.

Habilitar o inhabilitar las Dependabot security updates para un repositorio individual.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis de código", a la derecha de "Dependabot actualizaciones de seguridad", haga clic en Habilitar para habilitar la característica o Deshabilitar para deshabilitarla. En el caso de los repositorios públicos, el botón está deshabilitado si la característica siempre está habilitada.

Agrupar Dependabot security updates en una solicitud de cambios

Nota: Las actualizaciones agrupadas Dependabot se encuentran actualmente en versión beta y están sujetas a cambios.

Para reducir el número de solicitudes de cambios que puede ver, puede habilitar las actualizaciones de seguridad agrupadas para el repositorio o la organización. Cuando esto está habilitado, Dependabot agrupará las actualizaciones de seguridad en una solicitud de incorporación de cambios para cada ecosistema de paquetes. Para poder usar las actualizaciones de seguridad agrupadas, primero debe habilitar las siguientes características:

Nota: Cuando las actualizaciones de seguridad agrupadas están habilitadas por primera vez, Dependabot intentará inmediatamente crear solicitudes de incorporación de cambios agrupadas. Es posible que observe que Dependabot cierra las solicitudes de cambios antiguas y abren otras nuevas.

Habilitar o inhabilitar las Dependabot security updates agrupadas para un repositorio individual.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis de código", a la derecha de "Actualizaciones de seguridad agrupadas", haga clic en Habilitar para habilitar la característica o Deshabilitar para deshabilitarla.

Habilitar o inhabilitar las Dependabot security updates agrupadas para una organización.

Los propietarios de la organización pueden habilitar o deshabilitar las actualizaciones de seguridad agrupadas para todos los repositorios de su organización. Sin embargo, los repositorios individuales pueden actualizar su configuración para invalidar la configuración predeterminada de la organización.

  1. En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. Junto a la organización, haga clic en Settings.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis de código", a la derecha de "Actualizaciones de seguridad agrupadas", haga clic en Deshabilitar todo o Habilitar todo.

  5. Opcionalmente, para habilitar Dependabot security updates agrupadas para nuevos repositorios en su organización, seleccione Habilitar automáticamente para nuevos repositorios.

Invalidación del comportamiento predeterminado con un archivo de configuración

Puedes invalidar el comportamiento predeterminado de Dependabot security updates; para ello, agrega un archivo dependabot.yml al repositorio. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».

Nota: Si usa actualizaciones de seguridad agrupadas, no puede usar el archivo de configuración para personalizar el comportamiento de agrupación predeterminado para Dependabot security updates. La opción groups del archivo dependabot.yml solo se aplica a las actualizaciones de versión agrupadas.

Si solo necesitas actualizaciones de seguridad y quieres excluir las actualizaciones de versión, puedes establecer open-pull-requests-limit en 0 para evitar las actualizaciones de versión de un elemento package-ecosystem determinado. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

Nota: Para que Dependabot usen esta configuración para las actualizaciones de seguridad, directory debe ser la ruta de acceso a los archivos de manifiesto y no debe especificar un target-branch.

Para más información sobre las opciones de configuración disponibles para las actualizaciones de seguridad, consulta la tabla en "Opciones de configuración para el archivo dependabot.yml".

Información adicional