Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

About Dependabot alerts

GitHub Enterprise Cloud sends Las alertas del dependabot when we detect that your repository uses a vulnerable dependency or malware.

Acerca de Las alertas del dependabot

Note: Advisories for malware are currently in beta and subject to change.

Las alertas del dependabot tell you that your code depends on a package that is insecure.

If your code depends on a package with a security vulnerability, this can cause a range of problems for your project or the people who use it. You should upgrade to a secure version of the package as soon as possible. If your code uses malware, you need to replace the package with a secure alternative.

For more information, see "Browsing security advisories in the GitHub Advisory Database."

Detection of insecure dependencies

Dependabot performs a scan to detect insecure dependencies, and sends Las alertas del dependabot when:

  • A new advisory is added to the GitHub Advisory Database. For more information, see "Browsing security advisories in the GitHub Advisory Database."

    Nota: Solo las asesorías que ha revisado GitHub activarán las Las alertas del dependabot.

  • La gráfica de dependencias para los cambios a un repositorio. Por ejemplo, cuando un colaborador sube una confirmación para cambiar los paquetes o versiones de los cuales depende, o cuando cambia el código de alguna de las dependencias. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Adicionalmente, GitHub can review any dependencies added, updated, or removed in a pull request made against the default branch of a repository, and flag any changes that would reduce the security of your project. This allows you to spot and deal with vulnerable dependencies or malware before, rather than after, they reach your codebase. Para obtener más información, consulta la sección "Revisar los cambios a las dependencias en una solicitud de cambios".

For a list of the ecosystems that GitHub Enterprise Cloud detects insecure dependencies in, see "Supported package ecosystems."

Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. If the dependency graph doesn't accurately reflect your current dependencies and versions, then you could miss alerts for insecure dependencies that you use. También podrías obtener alertas de las dependencias que ya no utilizas.

Configuration of Las alertas del dependabot

GitHub detects vulnerable dependencies and malware in public repositories and displays the dependency graph, but does not generate Las alertas del dependabot by default. Los propietarios de repositorios o las personas con acceso administrativo pueden habilitar las Las alertas del dependabot para los repositorios públicos. Los propietarios de los repositorios privados o las personas con acceso administrativo puede habilitar las Las alertas del dependabot si habilitan la gráfica de dependencias y las Las alertas del dependabot para sus repositorios.

También puedes habilitar o inhabilitar las Las alertas del dependabot para todos los repositorios que pertenezcan atu cuenta de usuario u organización. Para obtener más información, consulta la sección "Configurar las Las alertas del dependabot".

Para obtener más información sobre los requisitos de acceso para las acciones que se relacionan con las Las alertas del dependabot, consulta la sección "Roles de repositorio para una organización".

GitHub Enterprise Cloud starts generating the dependency graph immediately and generates alerts for any insecure dependencies as soon as they are identified. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Para obtener más información, consulta la sección "Administrar la configuración de uso de datos para tu repositorio privado".

When GitHub Enterprise Cloud identifies a vulnerable dependency or malware, we generate a Dependabot alert and display it on the Security tab for the repository and in the repository's dependency graph. La alerta incluye un enlace al archivo afectado en el proyecto einformación sobre una versión corregida. GitHub Enterprise Cloud también podría notificar a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. For more information, see "Configuring notifications for Las alertas del dependabot."

Para los repositorios en donde están habilitadas las Actualizaciones de seguridad del dependabot, la alerta también podría contener un enlace a una solicitud de cambios o a una actualización en el archivo de bloqueo o de manifiesto para la versión mínima que resuelva la vulnerabilidad. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Note: GitHub Enterprise Cloud's security features do not claim to catch all vulnerabilities and malware. We actively maintain GitHub Advisory Database and generate alerts with the most up-to-date information. However, we cannot catch everything or tell you about known vulnerabilities within a guaranteed time frame. These features are not substitutes for human review of each dependency for potential vulnerabilities or any other issues, and we recommend consulting with a security service or conducting a thorough dependency review when necessary.

Acceder a las Las alertas del dependabot

Puedes ver todas las alertas que afectan un proyecto en particular en la pestaña de Seguridad del repositorio o en la gráfica de dependencias del repositorio. For more information, see "Viewing and updatng Las alertas del dependabot."

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Las alertas del dependabot nuevas. GitHub Enterprise Cloud never publicly discloses insecure dependencies for any repository. You can also make Las alertas del dependabot visible to additional people or teams working with repositories that you own or have admin permissions for. Para obtener más información, consulta la sección "Administrar la configuración de seguridad y análisis para tu repositorio".

Para recibir notificaciones sobre las Las alertas del dependabot en los repositorios, necesitas observar dichos repositorios y suscribirte para recibir notificaciones de "Toda la Actividad" o configurar los ajustes personalizados para que incluyan las "Alertas de seguridad". Para obtener más información, consulta la sección "Configurar tus ajustes de observación para repositorios individuales".

Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. For more information, see "Configuring notifications for Las alertas del dependabot."

You can also see all the Las alertas del dependabot that correspond to a particular advisory in the GitHub Advisory Database. For more information, see "Browsing security advisories in the GitHub Advisory Database."

Leer más