Configuring Dependabot security updates

Puedes utilizar las Actualizaciones de seguridad del dependabot o las solicitudes de extracción manuales para actualizar fácilmente las dependencias vulnerables.

Acerca de la configuración de las Actualizaciones de seguridad del dependabot

Puedes habilitar las Actualizaciones de seguridad del dependabot para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Puedes inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual o para todos los repositorios que pertenezcan a tu organización o cuenta de usuario. Para obtener más información, consulta la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios" acontinuación.

En las Condiciones de Servicio de GitHub se incluyen al Dependabot y a todas sus características relacionadas.

Repositorios compatibles

GitHub habilita las Actualizaciones de seguridad del dependabot automáticamente para cada repositorio que cumpla con estos pre-requisitos.

Nota: Puedes habilitar manualmente las Actualizaciones de seguridad del dependabot, aún si el repositorio no cumple con alguno de los siguientes prerrequisitos. Por ejemplo, puedes habilitar las Actualizaciones de seguridad del dependabot en una bifurcación, o para un administrador de paquetes que no sea directamente compatible si sigues las instrucciones en la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios".

Pre-requisito de habilitación automáticaMás información
Que el repositorio no sea una bifrucación"Acerca de las bifurcaciones"
Que el repositorio no esté archivado"Archivar repositorios"
Que el repositorio sea público, o que sea privado y hayas habilitado un análisis de solo lectura por GitHub, gráfica de dependencias y alertas de vulnerabilidades en la configuración del mismo"Administrar la configuración de uso de datos para tu repositorio privado".
Que el repositorio contenga un archivo de manifiesto de dependencias de un ecosistema de paquete que sea compatible con GitHub"Ecosistemas de paquete compatibles"
Las Actualizaciones de seguridad del dependabot no se han inhabilitado para el repositorio"Administrar las Actualizaciones de seguridad del dependabot para tu repositorio"
Que el repositorio no esté utilizando ya una integración para administración de dependencias"Acerca de las integraciones"

Si no se habilitan las actualizaciones de seguridad para tu repositorio y no sabes por qué, intenta primero habilitarles de acuerdo con las instrucciones que se encuentran en los procedimientos siguientes. Si las actualizaciones aún no funcionan, puedes contactar a soporte.

Administrar las Actualizaciones de seguridad del dependabot para tus repositorios

Puedes habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual (ver a continuación).

También puedes habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para todos los repositorios que pertenezcan atu cuenta de usuario u organización. Para obtener más información, consulta la sección "Administrar la seguridad y la configuración de análisis para tu cuenta de usuario" o la sección "Administrar la configuración de seguridad y análisis para tu organización".

Las Actualizaciones de seguridad del dependabot requieren de configuraciones de repositorio específicas. Para obtener más información, consulta "Repositorios soportados".

Habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual.

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Configuración. Botón de configuración del repositorio
  3. En la barra lateral izquierda, da clic en Seguridad & análisis. pestaña de "Seguridad & análisis" en la configuración de repositorio
  4. Debajo de "Configurar las características de seguridad y análisis", a la derecha de "actualizaciones de seguridad del Dependabot", da clic en Habilitar o Inhabilitar. Sección "Configurar las características de seguridad y análisis" con botón para habilitar las Actualizaciones de seguridad del dependabot

Leer más

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.