Viewing and updating vulnerable dependencies in your repository

If GitHub discovers vulnerable dependencies in your project, you can view them on the Dependabot alerts tab of your repository. Then, you can update your project to resolve or dismiss the vulnerability.

Repository administrators and organization owners can view and update dependencies.

Your repository's Las alertas del dependabot tab lists all open and closed Las alertas del dependabot and corresponding Actualizaciones de seguridad del dependabot. You can sort the list of alerts by selecting the drop-down menu, and you can click into specific alerts for more details. For more information, see "About alerts for vulnerable dependencies."

You can enable automatic security updates for any repository that uses Las alertas del dependabot and the dependency graph. For more information, see "About Actualizaciones de seguridad del dependabot."

Adicionalmente, GitHub puede revisar cualquier dependencia que se agregue, actualice o elimine en una solicitud de cambios que se haga contra la rama predeterminada de un repositorio así como marcar cualquier cambio que pudiera introducir una vulnerabilidad en tu proyecto. Esto te permite ubicar y tratar las dependencias vulnerables antes, en vez de después, de que lleguen a tu base de código. Para obtener más información, consulta la sección "Revisar los cambios a las dependencias en una solicitud de cambios".

About updates for vulnerable dependencies in your repository

GitHub generates Las alertas del dependabot when we detect that your codebase is using dependencies with known vulnerabilities. For repositories where Actualizaciones de seguridad del dependabot are enabled, when GitHub detects a vulnerable dependency in the default branch, Dependabot creates a pull request to fix it. The pull request will upgrade the dependency to the minimum possible secure version needed to avoid the vulnerability.

Viewing and updating vulnerable dependencies

  1. En GitHub.com, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, haz clic en Las alertas del dependabot. Las alertas del dependabot tab
  4. Click the alert you'd like to view. Alert selected in list of alerts
  5. Review the details of the vulnerability and, if available, the pull request containing the automated security update.
  6. Optionally, if there isn't already a Actualizaciones de seguridad del dependabot update for the alert, to create a pull request to resolve the vulnerability, click Create Dependabot security update. Create Dependabot security update button
  7. When you're ready to update your dependency and resolve the vulnerability, merge the pull request. Each pull request raised by Dependabot includes information on commands you can use to control Dependabot. For more information, see "Managing pull requests for dependency updates."
  8. Optionally, if the alert is being fixed, if it's incorrect, or located in unused code, select the "Dismiss" drop-down, and click a reason for dismissing the alert. Choosing reason for dismissing the alert via the "Dismiss" drop-down

Further reading

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.