Acerca de las notificaciones de Dependabot alerts
Cuando Dependabot detecta dependencias vulnerables en sus repositorios, generamos una alerta Dependabot y la mostramos en la pestaña Seguridad del repositorio. GitHub notifica a los mantenedores de los repositorios afectados sobre la alerta nueva de acuerdo con sus preferencias de notificaciones. Dependabot está habilitado de forma predeterminada en todos los repositorios públicos y debe habilitarse en los repositorios privados. De forma predeterminada, recibirás Dependabot alerts por correo electrónico. Puedes invalidar el comportamiento general predeterminado si eliges el tipo de notificaciones que quieres recibir o desactivas las notificaciones por completo en la página de configuración de las notificaciones de usuario en https://github.com/settings/notifications.
Dependabot no genera Dependabot alerts para software malicioso. Para obtener más información, vea «Acerca de GitHub Advisory Database».
Independientemente de las preferencias de notificación, la primera vez que Dependabot se habilita, GitHub no envía notificaciones a todas las dependencias vulnerables que se encuentran en el repositorio. En su lugar, recibirás notificaciones para las nuevas dependencias vulnerables identificadas después de que se haya habilitado Dependabot, siempre que las preferencias de notificación lo permitan.
Si eres propietario de la organización, puedes habilitar o deshabilitar Dependabot alerts para todos los repositorios de la organización con un solo clic. También puedes establecer si Dependabot alerts se habilitarán o deshabilitarán para los repositorios recién creados. Para más información, consulta Administrar la configuración de seguridad y análisis de su organización.
Configurar las notificaciones para las Dependabot alerts
Cuando se detecta una alerta nueva de Dependabot, GitHub notifica a todos los usuarios del repositorio con acceso a las Dependabot alerts de acuerdo con sus preferencias de notificación. Recibirás las alertas si estás observando el repositorio, si habilitas las notificaciones para las alertas de seguridad para toda la actividad del repositorio y si es que no lo estás ignorando. Para más información, consulta Configuración de notificaciones.
Puedes configurar los ajustes de notificaciones para ti mismo o para tu organización desde el menú desplegable de administrar notificaciones que se muestra en la parte superior de cada página. Para más información, consulta Configuración de notificaciones.
Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. De manera predeterminada, recibirá notificaciones:
- En la bandeja de entrada, como notificaciones web. Se enviará una notificación web cuando se habilite Dependabot en un repositorio, cuando se confirme un archivo de manifiesto nuevo en el repositorio y cuando se encuentre una vulnerabilidad nueva con gravedad crítica o alta (en la opción GitHub ).
- Por correo electrónico. Se envía un correo electrónico cuando se habilita Dependabot para un repositorio, cuando se confirma un archivo de manifiesto nuevo en el repositorio y cuando se encuentra una vulnerabilidad nueva de gravedad crítica o alta (la opción Correo electrónico).
- En la línea de comandos. Las advertencias se muestran como devoluciones de llamada al insertar en repositorios con cualquier dependencia no segura (opción de la CLI).
- En GitHub Mobile, como notificaciones web. Para obtener más información, vea «Configuración de notificaciones».
Note
Las notificaciones por correo electrónico y webGitHub Mobile son las siguientes:
- Por repositorio cuando Dependabot se habilita en el repositorio o cuando se confirma un archivo de manifiesto nuevo en el repositorio.
- Por organización cuando se descubre una vulnerabilidad nueva.
- Se envía cuando se descubre una vulnerabilidad nueva. GitHub no envía notificaciones cuando se actualizan las vulnerabilidades.
Puedes personalizar la forma en que recibes notificaciones sobre Dependabot alerts. Por ejemplo, puedes recibir un correo electrónico diario o semanal con el resumen de las alertas de hasta 10 de los repositorios mediante la opción Email weekly digest.
Note
Puedes filtrar tus notificaciones en GitHub para mostrar Dependabot alerts. Para más información, consulta Administrar las notificaciones en tu bandeja de entrada.
Las notificaciones por correo electrónico para Dependabot alerts que afectan a uno o más repositorios incluyen el campo de encabezado X-GitHub-Severity
. Puede usar el valor del campo de encabezado X-GitHub-Severity
para filtrar las notificaciones por correo electrónico de Dependabot alerts. Para más información, consulta Configuración de notificaciones.
Cómo reducir el ruido de las notificaciones de Dependabot alerts
Si te preocupa recibir demasiadas notificaciones para las Dependabot alerts, te recomendamos que te unas al resumen semanal por correo electrónico o que apagues las notificaciones mientras mantienes habilitadas las Dependabot alerts. Aún puedes navegar para ver tus Dependabot alerts en la pestaña Seguridad de tu repositorio. Para más información, consulta Visualización y actualización de alertas de Dependabot.