Acerca de Dependabot
Este inicio rápido te guiará por la configuración y habilitación de Dependabot y la visualización de Dependabot alerts y actualizaciones de un repositorio.
Dependabot consta de tres características diferentes que te ayudan a administrar las dependencias:
- Dependabot alerts: te informa sobre las vulnerabilidades de las dependencias que usas en el repositorio.
- Dependabot security updates: genera automáticamente solicitudes de incorporación de cambios para actualizar las dependencias que usas que tienen vulnerabilidades de seguridad conocidas.
- Dependabot version updates: levanta solicitudes de cambios automáticamente para mantener actualizadas tus dependencias.
Requisitos previos
Para este propósito, vamos a usar un repositorio de demostración para ilustrar cómo Dependabot encuentra vulnerabilidades en las dependencias, donde puede ver Dependabot alerts en GitHub y cómo puede explorar, corregir o descartar estas alertas.
Para empezar, debe bifurcar el repositorio de demostración.
- Vaya a https://github.com/dependabot/demo.
- En la parte superior de la página, a la derecha, haz clic en Bifurcación.
- Selecciona un propietario (puedes seleccionar la cuenta personal de GitHub) y escribir un nombre de repositorio. Para más información sobre los repositorios de plantillas, consulta "Bifurcar un repositorio".
- Haz clic en Crear bifurcación.
Administración de Dependabot para el repositorio
Debes seguir los pasos siguientes en el repositorio que bifurcó en "Requisitos previos".
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
-
En "Seguridad y análisis de código", a la derecha de Dependabot alerts, haz clic en Habilitar para Dependabot alerts, Dependabot security updates y Dependabot version updates.
-
Opcionalmente, si estás interesado en experimentar con Dependabot version updates, haz clic en .github/dependabot.yml. Esto creará un archivo de configuración
dependabot.yml
en el directorio/.github
del repositorio. Para habilitar Dependabot version updates para el repositorio, normalmente configuras este archivo para que se adapte a tus necesidades editando el archivo predeterminado y confirmando los cambios. Puedes hacer referencia al fragmento de código proporcionado en "Configuración de las actualizaciones de versiones de Dependabot" para obtener un ejemplo.
Note
Si el gráfico de dependencias aún no está habilitado para el repositorio, GitHub lo habilitará automáticamente al habilitar Dependabot.
Para obtener más información sobre cómo configurar cada una de estas características de Dependabot, consulta "Configuración de alertas de Dependabot", "Configuración de actualizaciones de seguridad de Dependabot" y "Configuración de las actualizaciones de versiones de Dependabot".
Visualización de Dependabot alerts para el repositorio
Si las Dependabot alerts están habilitadas para un repositorio, puedes ver las Dependabot alerts en la pestaña "Seguridad" del repositorio. Puedes usar el repositorio bifurcado en el que habilitó Dependabot alerts en la sección anterior.
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral "Alertas de vulnerabilidad" de la Información general sobre seguridad, haga clic en Dependabot . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio".
-
Revisa las alertas abiertas en la página Dependabot alerts. De forma predeterminada, la página muestra la pestaña Abrir y muestra las alertas abiertas. (Podrás ver las alertas cerradas haciendo clic en Cerrado).
Puede filtrar Dependabot alerts en la lista, con una variedad de filtros o etiquetas. Para obtener más información, consulta "Visualización y actualización de alertas de Dependabot". También puedes usar Evaluación de prioridades automática de Dependabot para filtrar falsas alertas positivas o alertas que no te interesen. Para más información, consulta "Acerca de Evaluación de prioridades automática de Dependabot".
-
Haga clic en la alerta "Inserción de comandos en lodash" en el archivo
javascript/package-lock.json
. La página de detalles de la alerta mostrará la siguiente información (ten en cuenta que es posible que alguna información no se aplique a todas las alertas):- Si Dependabot crearon una solicitud de incorporación de cambios que corregirá la vulnerabilidad. Para revisar la actualización de seguridad sugerida, haz clic en Revisar actualización de seguridad.
- Paquete implicado
- Versiones afectadas
- Versión revisada
- Breve descripción de la vulnerabilidad
-
Opcionalmente, también puedes explorar la información en el lado derecho de la página. Es posible que parte de la información que se muestra en la captura de pantalla no se aplique a todas las alertas.
- severity
- Métricas de CVSS: usamos niveles de CVSS para asignar niveles de gravedad. Para obtener más información, vea «Acerca de GitHub Advisory Database».
- Etiquetas
- Puntos débiles: lista de CWE relacionados con la vulnerabilidad, si procede
- Id. de CVE: identificador de CVE único para la vulnerabilidad, si procede
- Id. de GHSA: identificador único del aviso correspondiente en GitHub Advisory Database. Para obtener más información, vea «Acerca de GitHub Advisory Database».
- Opción para navegar al aviso sobre GitHub Advisory Database
- Opción para ver todos los repositorios afectados por esta vulnerabilidad
- Opción para sugerir mejoras para este aviso sobre GitHub Advisory Database
Para más información sobre la visualización, priorización y ordenación Dependabot alerts, consulta "Visualización y actualización de alertas de Dependabot".
Corrección o descarte de una alerta de Dependabot
Puedes corregir o descartar las Dependabot alerts en GitHub. Vamos a seguir usando el repositorio bifurcado como ejemplo y la alerta "Inserción de comandos en lodash" descrita en la sección anterior.
- Ve a la pestaña Dependabot alerts del repositorio. Para más información, consulte la sección "Visualización de Dependabot alerts para el repositorio" anterior.
- Haga clic en una alerta.
- Haga clic en la alerta "Inserción de comandos en lodash" en el archivo
javascript/package-lock.json
. - Revisa la alerta. Puede:
-
Revisa la actualización de seguridad sugerida haciendo clic en Revisión de la actualización de seguridad. Se abrirá la solicitud de incorporación de cambios generada por Dependabot con la corrección de seguridad.
- En la descripción de la solicitud de incorporación de cambios, puedes hacer clic en Confirmaciones para explorar las confirmaciones incluidas en la solicitud de incorporación de cambios.
- También puedes hacer clic en los comandos y opciones de Dependabot para obtener información sobre los comandos que puedes usar para interactuar con la solicitud de incorporación de cambios.
- Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.
-
Si decides que quieres descartar la alerta
-
Vuelve a la página de detalles de la alerta.
-
En la esquina superior derecha, haga clic en Descartar alerta.
-
Selecciona un motivo para descartar la alerta.
-
Opcionalmente, agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes.
-
Haz clic en Descartar alerta. La alerta ya no aparecerá en la pestaña Abierto de la lista de alertas y podrás verla en la pestaña Cerrado.
-
-
Para más información sobre Dependabot alerts, consulta "Visualización y actualización de alertas de Dependabot".
Solución de problemas
Es posible que tengas que realizar alguna solución de problemas si:
- Dependabot no puede crear una solicitud de incorporación de cambios para corregir una alerta o
- La información notificada por Dependabot no es lo que espera.
Para más información, consulta "Solucionar problemas de los errores del Dependabot" y "Solucionar problemas en la detección de dependencias vulnerables", respectivamente.
Pasos siguientes
Para más información sobre cómo configurar las actualizaciones de Dependabot, consulta "Configuración de actualizaciones de seguridad de Dependabot" y "Configuración de las actualizaciones de versiones de Dependabot".
Para más información sobre cómo configurar Dependabot para una organización, consulta "Configuración de alertas de Dependabot.
Para más información sobre cómo ver las solicitudes de incorporación de cambios abiertas por Dependabot, consulta "Administrar las solicitudes de extracción para las actualizaciones de dependencia".
Para más información sobre los avisos de seguridad que contribuyen a Dependabot alerts, consulta "Exploración de los avisos de seguridad en GitHub Advisory Database".
Para más información sobre cómo configurar las notificaciones sobre Dependabot alerts, consulta "Configuración de notificaciones para alertas de Dependabot".