Skip to main content

Acerca de Evaluación de prioridades automática de Dependabot

Evaluación de prioridades automática de Dependabot son una herramienta eficaz para ayudarle a administrar mejor las alertas de seguridad a gran escala. Valores preestablecidos de GitHub son reglas mantenidas por GitHub que puede usar para filtrar una cantidad sustancial de falsos positivos. Reglas de evaluación de prioridades automática personalizadas proporcionan control sobre qué alertas se omiten, se posponen o desencadenan una actualización de seguridad de Dependabot para resolver la alerta.

¿Quién puede utilizar esta característica?

People with write permissions can view Evaluación de prioridades automática de Dependabot for the repository. People with admin permissions to a repository can enable or disable reglas de evaluación de prioridades automática for the repository, as well as create reglas de evaluación de prioridades automática personalizadas. Additionally, organization owners and security managers can set reglas de evaluación de prioridades automática at the organization-level and optionally choose to enforce rules for repositories in the organization.

Nota: Las Evaluación de prioridades automática de Dependabot se encuentran actualmente en versión beta y están sujetas a cambios.

Acerca de Evaluación de prioridades automática de Dependabot

Evaluación de prioridades automática de Dependabot permiten indicar a Dependabot que evalúen automáticamente Dependabot alerts. Puede usar reglas de evaluación de prioridades automática para descartar o posponer automáticamente ciertas alertas, o especificar las alertas para las que desea que Dependabot abra solicitudes de cambios.

Hay dos tipos de Evaluación de prioridades automática de Dependabot:

  • Valores preestablecidos de GitHub
  • Reglas de evaluación de prioridades automática personalizadas

Acerca de Valores preestablecidos de GitHub

Valores preestablecidos de GitHub para Dependabot alerts son reglas que están disponibles para todos los repositorios.

Valores preestablecidos de GitHub son reglas mantenidas por GitHub. Dismiss low impact issues for development-scoped dependencies es una regla preestablecida GitHub. Esta regla descarta automáticamente determinados tipos de vulnerabilidades que se encuentran en las dependencias de npm que se usan en el desarrollo. La regla se ha mantenido para reducir los falsos positivos y reducir la fatiga de las alertas. No se puede modificar Valores preestablecidos de GitHub. Para obtener más información sobre Valores preestablecidos de GitHub, consulte "Uso de reglas preestablecidas de GitHub para priorizar las alertas de Dependabot".

La regla está habilitada de forma predeterminada para los repositorios públicos y se puede optar por los repositorios privados. Puedes habilitar la regla para un repositorio privado a través de la pestaña Configuración del repositorio. Para obtener más información, consulta "Habilitación de la regla Dismiss low impact issues for development-scoped dependencies para el repositorio privado".

Acerca de reglas de evaluación de prioridades automática personalizadas

Hay disponibles Reglas de evaluación de prioridades automática personalizadas para Dependabot alerts y en cualquier repositorio propiedad de una organización, si tienes una licencia para GitHub Advanced Security.

Con reglas de evaluación de prioridades automática personalizadas, puede crear sus propias reglas para descartar o volver a abrir automáticamente las alertas basándose en metadatos específicos, como gravedad, nombre del paquete, CWE, etc. También puede especificar para qué alertas desea que Dependabot abra solicitudes de cambios. Para obtener más información, vea «Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot».

Puedes crear reglas personalizadas desde la pestaña Configuración del repositorio, siempre que el repositorio pertenezca a una organización que tenga una licencia para GitHub Advanced Security. Para obtener más información, consulta "Adición de reglas de evaluación automática personalizadas al repositorio".

Acerca de las alertas de descarte automático

Aunque es posible que resulte útil usar reglas de evaluación de prioridades automática para descartar automáticamente las alertas, puede volver a abrir dichas alertas y filtrarlas para ver cuáles de ellas se han descartado automáticamente. Para obtener más información, vea «Administración de alertas que se han descartado automáticamente por una regla de evaluación de prioridades automática de Dependabot».

Además, las alertas descartadas automáticamente siguen estando disponibles para la generación de informes y la revisión, y se pueden volver a abrir si los metadatos de la alerta cambian, por ejemplo:

  • Si cambias el ámbito de una dependencia de desarrollo a producción.
  • Si GitHub modifica determinados metadatos del aviso correspondiente.

Las alertas descartadas automáticamente se definen con el motivo de cierre resolution:auto-dismiss. La actividad de descarte automático se incluye en webhooks de alertas, API REST y GraphQL, y en el registro de auditoría. Para más información, consulta «Puntos de conexión de la API de REST para Dependabot alerts» y la sección «repository_vulnerability_alert» en «Revisar el registro de auditoría de tu organización».

Información adicional