Nota: Las Evaluación de prioridades automática de Dependabot se encuentran actualmente en versión beta y están sujetas a cambios.
Acerca de Evaluación de prioridades automática de Dependabot
Evaluación de prioridades automática de Dependabot permiten indicar a Dependabot que evalúen automáticamente Dependabot alerts. Puede usar reglas de evaluación de prioridades automática para descartar o posponer automáticamente ciertas alertas, o especificar las alertas para las que desea que Dependabot abra solicitudes de cambios.
Hay dos tipos de Evaluación de prioridades automática de Dependabot:
- Valores preestablecidos de GitHub
- Reglas de evaluación de prioridades automática personalizadas
Acerca de Valores preestablecidos de GitHub
Valores preestablecidos de GitHub para Dependabot alerts son reglas que están disponibles para todos los repositorios.
Valores preestablecidos de GitHub son reglas mantenidas por GitHub. Dismiss low impact issues for development-scoped dependencies es una regla preestablecida GitHub. Esta regla descarta automáticamente determinados tipos de vulnerabilidades que se encuentran en las dependencias de npm que se usan en el desarrollo. La regla se ha mantenido para reducir los falsos positivos y reducir la fatiga de las alertas. La regla está habilitada de forma predeterminada para los repositorios públicos y se puede optar por los repositorios privados. Sin embargo, Valores preestablecidos de GitHub no se puede modificar. Para obtener más información, vea «Uso de reglas preestablecidas de GitHub para priorizar las alertas de Dependabot».
Acerca de reglas de evaluación de prioridades automática personalizadas
Hay disponibles Reglas de evaluación de prioridades automática personalizadas para Dependabot alerts y en cualquier repositorio propiedad de una organización, si tienes una licencia para GitHub Advanced Security.
Con reglas de evaluación de prioridades automática personalizadas, puede crear sus propias reglas para descartar o volver a abrir automáticamente las alertas basándose en metadatos específicos, como gravedad, nombre del paquete, CWE, etc. También puede especificar para qué alertas desea que Dependabot abra solicitudes de cambios. Para obtener más información, vea «Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot».
Acerca de las alertas de descarte automático
Aunque es posible que resulte útil usar reglas de evaluación de prioridades automática para descartar automáticamente las alertas, puede volver a abrir dichas alertas y filtrarlas para ver cuáles de ellas se han descartado automáticamente. Para obtener más información, vea «Administración de alertas que se han descartado automáticamente por una regla de evaluación de prioridades automática de Dependabot».
Además, las alertas descartadas automáticamente siguen estando disponibles para la generación de informes y la revisión, y se pueden volver a abrir si los metadatos de la alerta cambian, por ejemplo:
- Si cambias el ámbito de una dependencia de desarrollo a producción.
- Si GitHub modifica determinados metadatos del aviso correspondiente.
Las alertas descartadas automáticamente se definen con el motivo de cierre resolution:auto-dismiss. La actividad de descarte automático se incluye en webhooks de alertas, API REST y GraphQL, y en el registro de auditoría. Para más información, consulta «Puntos de conexión de la API de REST para Dependabot alerts» y la sección «repository_vulnerability_alert» en «Revisar el registro de auditoría de tu organización».