Skip to main content

Acerca de las alertas Dependabot

GitHub Enterprise Cloud envía Dependabot alerts cuando detectamos que el repositorio usa una dependencia vulnerable o malware.

Acerca de Dependabot alerts

Nota: Las asesorías relacionadas con malware actualmente se encuentran en versión beta y están sujetas a cambios.

Las Dependabot alerts indican que el código depende de un paquete que no es seguro.

Si el código depende de un paquete con una vulnerabilidad de seguridad, esto puede causar una serie de problemas al proyecto o a las personas que lo usan. Debes actualizar a una versión segura del paquete lo antes posible. Si el código usa malware, debes reemplazar el paquete por una alternativa segura.

Para obtener más información, consulta "Exploración de avisos de seguridad en GitHub Advisory Database".

Detección de dependencias no seguras

Dependabot lleva a cabo un examen para detectar las dependencias no seguras y envía Dependabot alerts cuando:

  • Se agrega un aviso nuevo a GitHub Advisory Database. Para obtener más información, consulta "Exploración de avisos de seguridad en GitHub Advisory Database."

    Nota: Solo los avisos revisados por GitHub desencadenarán Dependabot alerts.

  • Cambia el gráfico de dependencias de un repositorio. Por ejemplo, cuando un colaborador inserta una confirmación para cambiar los paquetes o las versiones de las que depende , o cuando el código de una de las dependencias cambia. Para más información, vea "Acerca del gráfico de dependencias".

Además, GitHub puede revisar cualquier dependencia que se agregue, actualice o quite en una solicitud de incorporación de cambios que se haga en la rama predeterminada de un repositorio, así como marcar cualquier cambio que pudiera disminuir la seguridad del proyecto. Esto te permite detectar y tratar dependencias vulnerables o malware antes de que lleguen a tu código base, no después. Para más información, consulta "Revisión de los cambios de dependencias en una solicitud de incorporación de cambios".

Para ver una lista de los ecosistemas en los que GitHub Enterprise Cloud detecta dependencias no seguras, consulta "Ecosistemas de paquetes admitidos".

Nota: Es importante mantener actualizados el manifiesto y los archivos de bloqueo. Si el gráfico de dependencias no refleja con exactitud tus versiones y dependencias actuales, es posible que pases por alto las alertas de las dependencias no seguras que usas. También podrías obtener alertas de las dependencias que ya no utilizas.

Configuración de Dependabot alerts

GitHub detecta dependencias vulnerables y malware en repositorios públicos y muestra el gráfico de dependencias, pero no genera Dependabot alerts de forma predeterminada. Los propietarios de repositorios o las personas con acceso administrativo pueden habilitar las Dependabot alerts para los repositorios públicos. Los propietarios de los repositorios privados o las personas con acceso administrativo puede habilitar las Dependabot alerts si habilitan la gráfica de dependencias y las Dependabot alerts para sus repositorios.

También puedes habilitar o deshabilitar Dependabot alerts para todos los repositorios que pertenezcan a tu cuenta de usuario u organización. Para más información, consulta "Configuración de Dependabot alerts".

Para información sobre los requisitos de acceso para las acciones relacionadas con Dependabot alerts, consulta "Roles de repositorio para una organización".

GitHub Enterprise Cloud empieza a generar el gráfico de dependencias de inmediato y genera alertas de dependencias no seguras en cuanto las identifica. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Para obtener más información, vea "Administración de la configuración de uso de datos para el repositorio privado".

Cuando GitHub Enterprise Cloud identifica una dependencia vulnerable o malware, generamos una alerta de Dependabot, que se muestra en la pestaña "Seguridad" del repositorio y en el gráfico de dependencias del repositorio. La alerta incluye un vínculo al archivo afectado en el proyecto e información sobre una versión fija. GitHub Enterprise Cloud también podría notificar a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. Para obtener más información, consulta "Configuración de notificaciones para Dependabot alerts".

En los repositorios donde Dependabot security updates están habilitadas, la alerta también puede contener un vínculo a una solicitud de incorporación de cambios para actualizar el manifiesto o el archivo de bloqueo a la versión mínima que resuelve la vulnerabilidad. Para obtener más información, consulte "Acerca de Dependabot security updates".

Nota: las características de seguridad de GitHub Enterprise Cloud no garantizan que se detectarán todas las vulnerabilidades y malware. Mantenemos GitHub Advisory Database activamente y generamos alertas con la información más actualizada. Aun así, no podemos detectarlo todo ni informarle sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no sustituyen la revisión humana de posibles vulnerabilidades u otras incidencias en cada dependencia, y se recomienda consultar con un servicio de seguridad o realizar una revisión exhaustiva de las dependencias cuando sea necesario.

Acceder a las Dependabot alerts

Puede ver todas las alertas que afectan a un proyecto determinado en la pestaña "Seguridad" del repositorio o en el gráfico de dependencias del repositorio. Para obtener más información, consulte "Visualización y actualización de Dependabot alerts".

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Dependabot alerts nuevas. GitHub Enterprise Cloud nunca divulga públicamente las dependencias no seguras de un repositorio. También puedes hacer que Dependabot alerts sean visibles para otras personas o equipos que trabajan con repositorios de tu propiedad o para los que tienes permisos. Para más información, vea "Administración de la configuración de seguridad y análisis para el repositorio".

Para recibir notificaciones sobre Dependabot alerts en los repositorios, tendrá que observarlos y suscribirse para recibir notificaciones de "Toda la actividad", o bien configurar valores personalizados para incluir "Alertas de seguridad". Para más información, vea "Configuración de los valores de observación para un repositorio individual". Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. Para obtener más información, consulta "Configuración de notificaciones de Dependabot alerts".

También puedes ver todas las Dependabot alerts que se corresponden con un aviso concreto en GitHub Advisory Database. Para obtener más información, consulta "Exploración de avisos de seguridad en GitHub Advisory Database".

Información adicional