Acerca de las alertas para las dependencias vulnerables

GitHub envía Las alertas del dependabot cuando detectamos vulnerabilidades que afectan tu repositorio.

Acerca de las dependencias vulnerables

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.

Cuando tu código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas para tu proyecto o para las personas que lo utilizan.

Detección de dependencias vulnerables

Dependabot detecta las dependencias vulnerables y envía Las alertas del dependabot cuando:

Adicionalmente, GitHub puede revisar cualquier dependencia que se agregue, actualice o elimine en una solicitud de cambios que se haga contra la rama predeterminada de un repositorio así como marcar cualquier cambio que pudiera introducir una vulnerabilidad en tu proyecto. Esto te permite ubicar y tratar las dependencias vulnerables antes, en vez de después, de que lleguen a tu base de código. Para obtener más información, consulta la sección "Revisar los cambios a las dependencias en una solicitud de cambios".

Para encontrar una lista de ecosistemas para las cuales GitHub puede detectar vulnerabilidades y dependencias, consulta la sección ecosistemas de paquete compatibles".

Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. Si la gráfica de dependencias no refleja con exactitud tus versiones y dependencias actuales, entonces podrías dejar pasar las alertas de las dependencias vulnerables que utilizas. También podrías obtener alertas de las dependencias que ya no utilizas.

Alertas del Dependabot para dependencias vulnerables

GitHub detecta dependencias vulnerables en repositorios públicos y genera Las alertas del dependabot predeterminadamente. Los propietarios de los repositorios privados o las personas con acceso administrativo puede habilitar las Las alertas del dependabot si habilitan la gráfica de dependencias y las Las alertas del dependabot para sus repositorios.

También puedes habilitar o inhabilitar las Las alertas del dependabot para todos los repositorios que pertenezcan atu cuenta de usuario u organización. Para obtener más información, consulta la sección "Administrar la seguridad y la configuración de análisis para tu cuenta de usuario" o la sección "Administrar la configuración de seguridad y análisis para tu organización".

Para obtener más información sobre los requisitos de permisos para las acciones que se relacionan con las Las alertas del dependabot, consulta la sección "Niveles de permiso del repositorio para una organización".

GitHub comienza a generar la gráfica de dependencias inmediatamente y genera alertas de cualquier dependencia vulnerable tan pronto como las identifique. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Para obtener más información, consulta la sección "Administrar la configuración de uso de datos para tu repositorio privado".

Cuando GitHub identifica una dependencia vulnerable, generamos una alerta del Dependabot y la mostramos en la pestaña de Seguridad del repositorio. La alerta incluye un enlace al archivo afectado en el proyecto e información acerca de la versión arreglada. GitHub también notifica a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. Para obtener más información, consulta la sección "Configurar las notificaciones para las dependencias vulnerables".

Para los repositorios en donde están habilitadas las Actualizaciones de seguridad del dependabot, la alerta también podría contener un enlace a una solicitud de cambios o a una actualización en el archivo de bloqueo o de manifiesto para la versión mínima que resuelva la vulnerabilidad. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Nota: Las características de seguridad de GitHub no aseguran que se detectarán todas las vulnerabilidades. Aunque siempre estamos tratando de actualizar nuestra base de datos de vulnerabilidades y de generar alertas con nuestra información más actualizada, no podremos atrapar todo o garantizar decirte acerca de las vulnerabilidades conocidas dentro de un periodo de tiempo determinado. Estas características no son sustitutos de la revisión humana de cada dependencia por posibles vulnerabilidades o cualquier otra cuestión. Te recomendamos consultar con un servicio de seguridad o realizar una revisión de vulnerabilidad exhaustiva cuando sea necesario.

Acceso a las alertas del Dependabot

Puedes ver todas las alertas que afectan un proyecto en particular en la pestaña de Seguridad del repositorio o en la gráfica de dependencias del repositorio. Para obtener más información, consulta la sección "Visualizar y actualizar las dependencias vulnerables en tu repositiorio".

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Las alertas del dependabot nuevas. GitHub nunca divulga públicamente las vulnerabilidades identificadas de ningún repositorio. También puedes hacer que las Las alertas del dependabot sean visibles para más personas o equipos que trabajen en los repositorios que te pertenecen o para los cuales tienes permisos administrativos. Para obtener más información, consulta la sección "Administrar la configuración de seguridad y análisis para tu repositorio".

Para recibir notificaciones sobre las Las alertas del dependabot en los repositorios, necesitas observar dichos repositorios y suscribirte para recibir notificaciones de "Toda la Actividad" o configurar los ajustes personalizados para que incluyan las "Alertas de seguridad". Para obtener más información, consulta la sección "Configurar tus ajustes de observación para repositorios individuales".

Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. Para obtener más información, consulta la sección "Configurar las notificaciones para las dependencias vulnerables".

También puedes ver todas las Las alertas del dependabot que corresponden a una vulnerabilidad en particular en la GitHub Advisory Database. Para obtener más información, consulta las secciones "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database" y "Acerca de GitHub Security Advisories".

Leer más

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.