Skip to main content

Acerca de Evaluación de prioridades automática de Dependabot

Evaluación de prioridades automática de Dependabot son una herramienta eficaz para ayudarle a administrar mejor las alertas de seguridad a gran escala. Las reglas predeterminados de Dependabot están elaboradas para usted y filtran una cantidad considerable de falsos positivos. Reglas de evaluación de prioridades automática personalizadas proporcionan control sobre qué alertas se omiten, se posponen o desencadenan una actualización de seguridad de Dependabot para resolver la alerta.

¿Quién puede utilizar esta característica?

People with write permissions can view Evaluación de prioridades automática de Dependabot for the repository. People with admin permissions to a repository can enable or disable reglas de evaluación de prioridades automática for the repository, as well as create reglas de evaluación de prioridades automática personalizadas. Additionally, organization owners and security managers can set reglas de evaluación de prioridades automática at the organization-level and optionally choose to enforce rules for repositories in the organization.

Nota: Las Evaluación de prioridades automática de Dependabot se encuentran actualmente en versión beta y están sujetas a cambios.

Acerca de Evaluación de prioridades automática de Dependabot

Evaluación de prioridades automática de Dependabot permiten indicar a Dependabot que evalúen automáticamente Dependabot alerts. Puede usar reglas de evaluación de prioridades automática para descartar o posponer automáticamente ciertas alertas, o especificar las alertas para las que desea que Dependabot abra solicitudes de cambios.

Hay dos tipos de Evaluación de prioridades automática de Dependabot:

  • Reglas predeterminadas seleccionadas de GitHub
  • Reglas de evaluación de prioridades automática personalizadas

Las reglas predeterminadas de GitHub mantenidas, Dismiss low impact issues for development-scoped dependencies, descartan automáticamente determinados tipos de vulnerabilidades que se encuentran en las dependencias de npm usadas en el desarrollo. La regla se ha mantenido para reducir los falsos positivos y reducir la fatiga de las alertas. La regla está habilitada de forma predeterminada para los repositorios públicos y se puede optar por los repositorios privados. Sin embargo, no se pueden modificar las Reglas predeterminadas seleccionadas de GitHub. Para obtener más información, vea «Uso de reglas predeterminadas de GitHub mantenidas para priorizar las alertas de Dependabot».

Con reglas de evaluación de prioridades automática personalizadas, puede crear sus propias reglas para descartar o volver a abrir automáticamente las alertas basándose en metadatos específicos, como gravedad, nombre del paquete, CWE, etc. También puede especificar para qué alertas desea que Dependabot abra solicitudes de cambios. Para obtener más información, vea «Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot».

Aunque es posible que resulte útil descartar automáticamente las alertas, puede volver a abrir dichas alertas y filtrarlas. Para obtener más información, vea «Administración de alertas que se han descartado automáticamente por una regla de evaluación de prioridades automática de Dependabot».

Además, las alertas descartadas automáticamente siguen estando disponibles para la generación de informes y la revisión, y se pueden volver a abrir si los metadatos de la alerta cambian, por ejemplo:

  • Si cambias el ámbito de una dependencia de desarrollo a producción.
  • Si GitHub modifica determinados metadatos del aviso correspondiente.

Las alertas descartadas automáticamente se definen con el motivo de cierre resolution:auto-dismiss. La actividad de descarte automático se incluye en webhooks de alertas, API REST y GraphQL, y en el registro de auditoría. Para más información, consulte “Dependabot alerts” en la documentación de la API de REST y la sección “repository_vulnerability_alert” en “Revisar el registro de auditoría de tu organización”.

Información adicional