About Dependabot security updates

Dependabot puede arreglar tus dependencias vulnerables levantando solicitudes de extracción con actualizaciones de seguridad.

Acerca de las Actualizaciones de seguridad del dependabot

Las Actualizaciones de seguridad del dependabot te facilitan el arreglar las dependencias vulnerables en tu repositorio. Si habilitas esta característica, cuando se levante una alerta del Dependabot para una dependencia vulnerable en la gráfica de dependencias de tu repositorio, Dependabot intentará arreglarla automáticamente. Para obtener más información, consulta las secciones "Acerca de las alertas para las dependencias vulnerables" y "Configurar las Actualizaciones de seguridad del dependabot".

GitHub podría enviar alertas del Dependabot a los repositorios que se vieron afectados por la vulnerabilidad que se divulgó en una asesoría de seguridad de GitHub publicada recientemente. Para obtener más información, consulta la sección "Acerca deGitHub Security Advisories".

Dependabot verifica si es posible actualizar la dependencia vulnerable a una versión arreglada sin irrumpir en la gráfica de dependencias para el repositorio. Posteriormente, el Dependabot levanta una solicitud de cambios para actualizar la dependencia a la versión mínima que incluye el parche y los enlaces a la solicitud de cambios para la alerta del Dependabot, o reporta un error en la alerta. Para obtener más información, consulta la sección "Solucionar problemas para los errores del Dependabot".

Nota

La característica de Actualizaciones de seguridad del dependabot se encuentra disponible para los repositorios en donde hayas habilitado la gráfica de dependencias y las Las alertas del dependabot. Verás una alerta del Dependabot por cada dependencia vulnerable que se haya identificado en toda tu gráfica de dependencias. Sin embargo, las actualizaciones de seguridad se activan únicamente para las dependencias que se especifican en un archivo de manifiesto o de bloqueo. El Dependabot no puede actualizar una dependencia indirecta o transitoria si no se define explícitamente. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Puedes habilitar una característica relacionada, Actualizaciones de versión del dependabot, para que el Dependabot levante solicitudes de cambio para actualizar el manifiesto a la última versión de la dependencia cuando detecte una que esté desactualizada. Para obtener más información, consulta la sección "Acerca de las actualizaciones de versión del Dependabot".

Cuando el Dependabot levanta solicitudes de cambio, estas podrían ser para actualizaciones de seguridad o de versión:

  • Las Actualizaciones de seguridad del dependabot son solicitudes de cambio automatizadas que te ayudan a actualizar las dependencias con vulnerabilidades conocidas.
  • Las Actualizaciones de versión del dependabot son solicitudes de cambio automatizadas que mantienen tus dependencias actualizadas, aún cuando no tienen ninguna vulnerabilidad. Para verificar el estado de las actualizaciones de versión, navega a la pestaña de perspectivas de tu repositorio, luego a la gráfica de dependencias, y luego al Dependabot.

Acerca de las solicitudes de cambios para las actualizaciones de seguridad

Cada solicitud de cambios contiene todo lo que necesitas para revisar y fusionar de forma rápida y segura un arreglo propuesto en tu proyecto. Esto incluye la información acerca de la vulnerabilidad, como las notas de lanzamiento, las entradas de bitácora de cambios, y los detalles de confirmación. Los detalles de qué vulnerabilidad resuelve una solicitud de cambios se encuentran ocultos para cualquiera que no tenga acceso a las Las alertas del dependabot del repositorio en cuestión.

Cuando fusionas una solicitud de cambios que contiene una actualización de seguridad, la alerta correspondiente del Dependabot se marca como resuelta en el repositorio. Para obtener más información acerca de las solicitudes de cambios del Dependabot, consulta la sección "Administrar las solicitudes de cambios para las actualizaciones de las dependencias".

Nota: El tener pruebas automatizadas y procesos de aceptación establecidos para que las verificaciones se lleven a cabo antes de que se fusione la solicitud de extracción se considera como una buena práctica. Esto es particularmente importante si la versión que se sugiere mejorar contiene funcionalidades adicionales o un cambio que infrinja el código de tu proyecto. Para obtener más información acerca de la integración contínua, consulta la sección "Acerca de la Integración Contínua".

Acerca de las puntuaciones de compatibilidad

Las Actualizaciones de seguridad del dependabot podrían incluir puntuaciones de compatibilidad para hacerte saber si el actualizar una dependencia podría causar cambios sustanciales en tu proyecto. Estos se calculan de las pruebas de IC en otros repositorios públicos en donde se ha generado la misma actualización de seguridad. La puntuación de compatibilidad de una actualización es el porcentaje de ejecuciones de IC que pasaron cuando se hicieron actualizaciones en versiones específicas de la dependencia.

Acerca de las notificaciones para las actualizaciones de seguridad del Dependabot

Puedes filtrar tus notificaciones en GitHub para mostrar las actualizaciones de seguridad del Dependabot. Para recibir más información, consulta la sección "Administrar las notificaciones desde tu bandeja de entrada".

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.