Esta versión de GitHub Enterprise se discontinuó el 2021-09-23. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Acerca de las alertas para las dependencias vulnerables

GitHub Enterprise Server envía Las alertas del dependabot cuando detectamos vulnerabilidades que afectan tu repositorio.

Acerca de las dependencias vulnerables

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.

Cuando tu código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas para tu proyecto o para las personas que lo utilizan.

Detección de dependencias vulnerables

El Dependabot detecta las dependencias vulnerables y envía Las alertas del dependabot cuando:

  • Se sincronizan los datos de las asesorías nuevas en GitHub Enterprise Server cada hora desde GitHub.com. Para obtener más información sobre los datos de asesoria, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database".

  • La gráfica de dependencias para los cambios a un repositorio. Por ejemplo, cuando un colaborador sube una confirmación para cambiar los paquetes o versiones de los cuales depende. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Para encontrar una lista de ecosistemas para las cuales GitHub Enterprise Server puede detectar vulnerabilidades y dependencias, consulta la sección ecosistemas de paquete compatibles".

Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. Si la gráfica de dependencias no refleja con exactitud tus versiones y dependencias actuales, entonces podrías dejar pasar las alertas de las dependencias vulnerables que utilizas. También podrías obtener alertas de las dependencias que ya no utilizas.

Alertas del Dependabot para dependencias vulnerables

Tu administrador de sitio debe habilitar las alertas del Dependabot para las dependencias vulnerables para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar las alertas para las dependencias vulnerables en GitHub Enterprise Server".

Cuando GitHub Enterprise Server identifica una dependencia vulnerable, generamos una alerta del Dependabot y la mostramos en la pestaña de Seguridad del repositorio. La alerta incluye un enlace al archivo afectado en el proyecto e información acerca de la versión arreglada. GitHub Enterprise Server también notifica a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. Para obtener más información, consulta la sección "Configurar notificaciones para las dependencias vulnerables".

Nota: Las características de seguridad de GitHub Enterprise Server no aseguran que se detectarán todas las vulnerabilidades. Aunque siempre estamos tratando de actualizar nuestra base de datos de vulnerabilidades y de generar alertas con nuestra información más actualizada, no podremos atrapar todo o garantizar decirte acerca de las vulnerabilidades conocidas dentro de un periodo de tiempo determinado. Estas características no son sustitutos de la revisión humana de cada dependencia por posibles vulnerabilidades o cualquier otra cuestión. Te recomendamos consultar con un servicio de seguridad o realizar una revisión de vulnerabilidad exhaustiva cuando sea necesario.

Acceso a las Alertas de

Puedes ver todas las alertas que afectan a un proyecto en particular en la gráfica de dependencias del repositorio.

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Las alertas del dependabot nuevas.

Puedes elegir el método de entrega de las notificaciones de las Las alertas del dependabot en los repositorios que observas, así como la frecuencia en la que se te envían las notificaciones. Para obtener más información, consulta la sección "Configurar las notificaciones de las dependencias vulenrables".