Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Esta versión de GitHub Enterprise se discontinuó el 2022-06-03. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Acerca de las alertas del Dependabot

GitHub Enterprise Server envía Las alertas del dependabot cuando detectamos que tu repositorio utiliza una dependencia vulnerabile.

Acerca de Las alertas del dependabot

Las Las alertas del dependabot te indican cuando tu código depende de un paquete que no es seguro.

Si tu código depende de un paquete con una vulnerabilidad de seguridad, esto puede ocasionar varios problemas para tu proyecto o para la persona que lo utiliza. Deberás mejorar a una versión segura del paquete tan pronto sea posible.

Para obtener más información sobre los datos de la asesoría, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database" en la documentación de GitHub.com.

Detección de dependencias inseguras

El Dependabot realiza un escaneo para detectar las dependencias inseguras y envía Las alertas del dependabot cuando:

  • Se sincronizan los datos de las asesorías nuevas en tu instancia de GitHub Enterprise Server cada hora desde GitHub.com. Para obtener más información sobre los datos de la asesoría, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database" en la documentación de GitHub.com.

    Nota: Solo las asesorías que ha revisado GitHub activarán las Las alertas del dependabot.

  • La gráfica de dependencias para los cambios a un repositorio. Por ejemplo, cuando un colaborador sube una confirmación para cambiar los paquetes o versiones de los cuales depende. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Para encontrar una lista de ecosistemas en los cuales GitHub Enterprise Server detecta dependencias inseguras, consulta la sección "Ecosistemas de paquete compatibles".

Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. Si la gráfica de dependencia no refleja tus dependencias y versiones actuales con exactitud, entonces podrías perderte de las alertas para las dependencias inseguras que utilizas. También podrías obtener alertas de las dependencias que ya no utilizas.

Configuración de las Las alertas del dependabot

Los propietarios de empresas deben habilitar las Las alertas del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

When GitHub Enterprise Server identifies a vulnerable dependency, we generate a Dependabot alert and display it on the Security tab for the repository and in the repository's dependency graph. La alerta incluye un enlace al archivo afectado en el proyecto einformación sobre una versión corregida. GitHub Enterprise Server también podría notificar a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. For more information, see "Configuring notifications for Las alertas del dependabot."

Note: GitHub Enterprise Server's security features do not claim to catch all vulnerabilities. We actively maintain GitHub Advisory Database and generate alerts with the most up-to-date information. However, we cannot catch everything or tell you about known vulnerabilities within a guaranteed time frame. These features are not substitutes for human review of each dependency for potential vulnerabilities or any other issues, and we recommend consulting with a security service or conducting a thorough dependency review when necessary.

Acceder a las Las alertas del dependabot

Puedes ver todas las alertas que afectan un proyecto en particular en la gráfica de dependencias del repositorio. For more information, see "Viewing and updatng Las alertas del dependabot."

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Las alertas del dependabot nuevas.

Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían.Para obtener más información, consulta la sección "Configurar notificaciones para las Las alertas del dependabot".

You can also see all the Las alertas del dependabot that correspond to a particular advisory in the GitHub Advisory Database. Para obtener más información sobre los datos de la asesoría, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database" en la documentación de GitHub.com.