Acerca de las Dependabot alerts para dependencias vulnerables
Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.
Dependabot examina el código cuando se agrega una nueva auditoría a GitHub Advisory Database o el grafo de dependencias de los cambios en un repositorio. Cuando se detectan dependencias vulnerables, se generan Dependabot alerts. Para obtener más información, vea «Acerca de las alertas Dependabot».
En los repositorios donde Dependabot security updates están habilitadas, la alerta también puede contener un vínculo a una solicitud de incorporación de cambios para actualizar el manifiesto o el archivo de bloqueo a la versión mínima que resuelve la vulnerabilidad. Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot».
Puedes habilitar o deshabilitar las Dependabot alerts para:
- Tu cuenta personal
- Tu repositorio
- Tu organización
- Tu empresa
Además, puedes usar las reglas de alerta de Dependabot para evaluar automáticamente las alertas, por lo que puede ignorar automáticamente las alertas y especificar para qué alertas quieres que Dependabot abra solicitudes de cambios. Para obtener información sobre los distintos tipos de reglas de evaluación de prioridades automáticas y si los repositorios son aptos, consulte "Acerca de Evaluación de prioridades automática de Dependabot".
Administración de las Dependabot alerts para la cuenta personal
El propietario de la empresa puede habilitar o deshabilitar las Dependabot alerts para los repositorios. Para obtener más información, vea «Habilitación de Dependabot para la empresa».
Administración de las Dependabot alerts para el repositorio
Puede administrar las Dependabot alerts para el repositorio público, privado o interno.
Predeterminadamente, notificamos a las personas con permisos administrativos, de mantenimiento o de escritura en los repositorios afectados sobre las Dependabot alerts nuevas. GitHub Enterprise Server nunca divulga públicamente las dependencias no seguras de un repositorio. También puedes hacer que las Dependabot alerts sean visibles para más personas o equipos que trabajen en los repositorios que te pertenecen o para los cuales tienes permisos administrativos.
Un propietario de la empresa debe configurar primero Dependabot para su empresa antes de poder administrar Dependabot alerts para el repositorio. Para más información, consulta "Habilitación de Dependabot para la empresa".
Habilitación o deshabilitación de las Dependabot alerts para un repositorio
-
En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
-
En "Seguridad y análisis del código", a la derecha de Dependabot alerts, haz clic en Habilitar para habilitar alertas o en Deshabilitar para deshabilitarlas.
Administración de Dependabot alerts para la organización
Puede habilitar las Dependabot alerts para algunos o para todos los repositorios que pertenezcan a su organización. Para obtener más información sobre cómo habilitar las funciones de seguridad en una organización, consulte "Inicio rápido para proteger su organización."
Un propietario de la empresa debe configurar primero Dependabot para su empresa antes de poder administrar Dependabot alerts para el repositorio. Para más información, consulta "Habilitación de Dependabot para la empresa".
Habilitación o deshabilitación de las Dependabot alerts para todos los repositorios existentes
Puedes usar información general de seguridad para buscar un conjunto de repositorios y habilitar o deshabilitar Dependabot alerts como protección de inserción para ellos al mismo tiempo. Para obtener más información, vea «Habilitación de características de seguridad para varios repositorios».
También puedes usar la página de configuración de la organización de "Seguridad y análisis del código" para habilitar o deshabilitar Dependabot alerts para todos los repositorios existentes de una organización.
- En la esquina superior derecha de GitHub, seleccione la foto del perfil y haga clic en Sus organizaciones.
- Junto a la organización, haga clic en Settings.
- En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
- En "Seguridad y análisis de código", a la derecha de las Dependabot alerts, haz clic en Deshabilitar todo o Habilitar todo.
- Opcionalmente, para habilitar Dependabot alerts de forma predeterminada para los nuevos repositorios en la organización, en el cuadro de diálogo, selecciona "Habilitar de forma predeterminada para los nuevos repositorios".
- Haz clic en Deshabilitar las Dependabot alerts o Habilitar las Dependabot alerts para deshabilitar o habilitar las Dependabot alerts para todos los repositorios de la organización.
Administración de Dependabot alerts para la empresa
Puedes deshabilitar las Dependabot alerts para todos los repositorios, actuales y futuros, que pertenezcan a organizaciones de la empresa. Los cambios afectan a todos los repositorios.
-
En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En la barra lateral de la izquierda, haz clic en Seguridad y análisis del código.
-
En la sección "Dependabot", a la derecha de Dependabot alerts, haz clic en Deshabilitar todo o Habilitar todo.
-
Opcionalmente, selecciona Habilitar automáticamente para los nuevos repositorios a fin de habilitar Dependabot alerts de manera predeterminada para los nuevos repositorios de las organizaciones.