Ver y actualizar dependencias vulnerables en tu repositorio

Si GitHub descubre una dependencia vulnerable en tu proyecto, podrás verla en la pestaña de alertas del Dependabot de tu repositorio. Posteriormente, podrás actualizar tu proyecto para resolver o descartar la vulnerabilidad.

Repository administrators and organization owners can view and update dependencies.

La pestaña de alertas del Dependabot de tu repositorio lista todas las Las alertas del dependabot abiertas y cerradas y las Actualizaciones de seguridad del dependabot correspondientes. Puedes clasificar la lista de alertas utilizando el menú desplegable y hacer clic en alertas específicas para obtener más detalles. Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables".

Puedes habilitar las alertas de seguridad automáticas para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Adicionalmente, GitHub puede revisar cualquier dependencia que se agregue, actualice o elimine en una solicitud de cambios que se haga contra la rama predeterminada de un repositorio así como marcar cualquier cambio que pudiera introducir una vulnerabilidad en tu proyecto. Esto te permite ubicar y tratar las dependencias vulnerables antes, en vez de después, de que lleguen a tu base de código. Para obtener más información, consulta la sección "Revisar los cambios a las dependencias en una solicitud de cambios".

Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio

GitHub genera Las alertas del dependabot cuando detectamos que tu base de código está utilizando dependencias con vulnerabilidades conocidas. Para los repositorios en donde se habilitan las Actualizaciones de seguridad del dependabot cuando GitHub detecta una dependencia vulnerable en la rama predeterminada, Dependabot crea una solicitud de cambios para arreglarla. La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.

Ver y actualizar las dependencias vulnerables

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, haz clic en Las alertas del dependabot. Las alertas del dependabot tab
  4. Haz clic en la alerta que quieres ver. Alerta seleccionada en la lista de alertas
  5. Revisa los detalles de la vulnerabilidad y, en caso de que esté disponible, la solicitud de extracción que contienen la actualización de seguridad automatizada.
  6. Opcionalmente, si no existe ya una actualización de Actualizaciones de seguridad del dependabot para la alerta, para crear una solicitud de extracción o para resolver la vulnerabilidad, da clic en Crear una actualización de eguridad del Dependabot. Crea un botón de actualización de seguridad del Dependabot
  7. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción. Cada solicitud de extracción que levante el Dependabot incluye información sobre los comandos que puedes utilizar para controlar el Dependabot. Para obtener más información, consulta la sección "Adminsitrar las solicitudes de extracción para las actualizaciones de las dependencias".
  8. Opcionalmente, si se está arreglando la alerta, si es incorrecta o si se ubica en una sección de código sin utilizar, utiliza el menú desplegable de "Descartar" y da clic en una razón para descartar la alerta.Elegir una razón para descartar la alerta a través del menú desplegable de "Descartar"

Leer más

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.