Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Viewing and updating Dependabot alerts

Si GitHub Enterprise Cloud descubre una dependencia vulnerable en tu proyecto, podrás verla en la pestaña de alertas del Dependabot de tu repositorio. Posteriormente, podrás actualizar tu proyecto para resolver o descartar la vulnerabilidad.

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

La pestaña de Las alertas del dependabot de tu repositorio lista todas lasLas alertas del dependabot abiertas y cerradas, así como las Actualizaciones de seguridad del dependabot correspondientes. Puedes filtrar las alertas por paquete, ecosistema o manifiesto. Tambén puedes clasificar la lista de alertas y hacer clic en ellas para obtener más detalles. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".

Puedes habilitar las alertas de seguridad automáticas para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Adicionalmente, GitHub puede revisar cualquier dependencia que se agregue, actualice o elimine en una solicitud de cambios que se haga contra la rama predeterminada de un repositorio así como marcar cualquier cambio que pudiera introducir una vulnerabilidad en tu proyecto. Esto te permite ubicar y tratar las dependencias vulnerables antes, en vez de después, de que lleguen a tu base de código. Para obtener más información, consulta la sección "Revisar los cambios a las dependencias en una solicitud de cambios".

Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio

GitHub Enterprise Cloud genera Las alertas del dependabot cuando detectamos que tu base de código está utilizando dependencias con vulnerabilidades conocidas. Para los repositorios en donde se habilitan las Actualizaciones de seguridad del dependabot cuando GitHub Enterprise Cloud detecta una dependencia vulnerable en la rama predeterminada, Dependabot crea una solicitud de cambios para arreglarla. La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.

Puedes clasificar y filtrar las Las alertas del dependabot con los menús desplegables en la pestaña de Las alertas del dependabot o tecleando filtros tales como pares de key:value en la barra de búsqueda. Los filtros disponibles son los de repositorio (pro ejemplo, repo:my-repository), paquete (por ejemplo, package:django), ecosistema (por ejemplo, ecosystem:npm), manifiesto (por ejemplo, manifest:webwolf/pom.xml), estado (por ejemplo, is:open) y si la asesoría tiene un parche (por ejemplo, has: patch).

Cada alerta del Dependabot tiene un identificador numérico único y la pestaña de Las alertas del dependabot lista una alerta por cada vulnerabilidad detectada. Las Las alertas del dependabot tradicionales agrupan vulnerabilidades por dependencia y generan una sola alerta por dependencia. Si navegas a una alerta tradicional del Dependabot, se te redirigirá a una pestaña de Las alertas del dependabot filtradas para este paquete.

About the detection of calls to vulnerable functions

Notas:

  • The detection of calls to vulnerable functions by Dependabot is in beta and subject to change.

  • Detection of vulnerable calls is included in GitHub Enterprise Cloud for public repositories. To detect vulnerable calls in private repositories owned by organizations, your organization must have a license for GitHub Advanced Security. Para obtener más información, consulta la sección "Acerca de GitHub Advanced Security".

When Dependabot tells you that your repository uses a vulnerable dependency, you need to determine what the vulnerable functions are and check whether you are using them. Once you have this information, then you can determine how urgently you need to upgrade to a secure version of the dependency.

For supported languages, Dependabot automatically detects whether you use a vulnerable function and adds the label "Vulnerable call" to affected alerts. You can use this information in the Las alertas del dependabot view to triage and prioritize remediation work more effectively.

Note: During the beta release, this feature is available only for new Python advisories created after April 14, 2022, and for a subset of historical Python advisories. GitHub is working to backfill data across additional historical Python advisories, which are added on a rolling basis. Vulnerable calls are highlighted only on the Las alertas del dependabot pages.

Screenshot showing an alert with the "Vulnerable call" label

You can filter the view to show only alerts where Dependabot detected at least one call to a vulnerable function using the has:vulnerable-calls filter in the search field.

For alerts where vulnerable calls are detected, the alert details page shows additional information:

  • A code block showing where the function is used or, where there are multiple calls, the first call to the function.
  • An annotation listing the function itself, with a link to the line where the function is called.

Screenshot showing the alert details page for an alert with a "Vulnerable call" label

For more information, see "Reviewing and fixing vulnerable dependencies" below.

Viewing vulnerable dependencies

  1. En GitHub.com, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".Las alertas del dependabot tab
  4. Opcionalmente, para filtrar alertas, selecciona el menú desplegable de Repositorio, l Paquete, Ecosistema o Manifiesto y luego haz clic en el filtro que te gustaría aplicar. También puedes teclear filtros en la barra de búsqueda. Por ejemplo, ecosystem:npm o has:patch. Para ordenar las alertas, selecciona el menú desplegable Ordenar y luego haz clic en la opción por la cual te gustaría ordenarlas. Captura de pantalla del filtro y menús de clasificación en la pestaña de las Las alertas del dependabot
  5. Haz clic en la alerta que te gustaría ver. Alerta seleccionada en la lista de alertas

Reviewing and fixing vulnerable dependencies

It’s important to ensure that all of your dependencies are clean of any security weaknesses. When Dependabot discovers vulnerabilities in your dependencies, you should assess your project’s level of exposure and determine what remediation steps to take to secure your application.

If a patched version is available, you can generate a Dependabot pull request to update this dependency directly from a Dependabot alert. If you have Actualizaciones de seguridad del dependabot enabled, the pull request may be linked will in the Dependabot alert.

In cases where a patched version is not available, or you can’t update to the secure version, Dependabot shares additional information to help you determine next steps. When you click through to view a Dependabot alert, you can see the full details of the security advisory for the dependency including the affected functions. You can then check whether your code calls the impacted functions. This information can help you further assess your risk level, and determine workarounds or if you’re able to accept the risk represented by the security vulnerability.

For supported languages, Dependabot detects calls to vulnerable functions for you. When you view an alert labeled as "Vulnerable call", the details include the name of the function and a link to the code that calls it. Often you will be able to take decisions based on this information, without exploring further.

Fixing vulnerable dependencies

  1. View the details for an alert. For more information, see "Viewing vulnerable dependencies" (above).

  2. If you have Actualizaciones de seguridad del dependabot enabled, there may be a link to a pull request that will fix the dependency. Alternatively, you can click Create Dependabot security update at the top of the alert details page to create a pull request. Crea un botón de actualización de seguridad del Dependabot

  3. Optionally, if you do not use Actualizaciones de seguridad del dependabot, you can use the information on the page to decide which version of the dependency to upgrade to and create a pull request to update the dependency to a secure version.

  4. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

    Cada solicitud de extracción que levante el Dependabot incluye información sobre los comandos que puedes utilizar para controlar el Dependabot. Para obtener más información, consulta la sección "Adminsitrar las solicitudes de extracción para las actualizaciones de las dependencias".

Dismissing Las alertas del dependabot

If you schedule extensive work to upgrade a dependency, or decide that an alert does not need to be fixed, you can dismiss the alert. Dismissing alerts that you have already assessed makes it easier to triage new alerts as they appear.

  1. Ver los detalles de una alerta. Para obtener más información, consulta la sección "Ver las dependencias vulnerables" (anteriormente).
  2. Select the "Dismiss" dropdown, and click a reason for dismissing the alert. Unfixed dismissed alerts can be reopened later. Elegir una razón para descartar la alerta a través del menú desplegable de "Descartar"

Viewing and updating closed alerts

  1. En GitHub.com, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".Las alertas del dependabot tab
  4. To just view closed alerts, click Closed. Screenshot showing the "Closed" option
  5. Click the alert that you would like to view or update. Screenshot showing a highlighted dependabot alert
  6. Optionally, if the alert was dismissed and you wish to reopen it, click Reopen. Screenshot showing the "Reopen" button