Acerca de Dependabot para GitHub Enterprise Server
Dependabot ayuda a que los usuarios busquen y corrijan vulnerabilidades en sus dependencias.. Primero tiene que configurar Dependabot para la empresa, y luego puede habilitar Dependabot alerts para informar a los usuarios de las dependencias vulnerables y Dependabot updates para corregir las vulnerabilidades y mantener actualizadas las dependencias en la versión más reciente.
Dependabot es solo una de las numerosas características disponibles para proteger la seguridad de la cadena de suministro de GitHub. Para obtener más información sobre las otras características, consulta Acerca de la seguridad de la cadena de suministro para la empresa.
Acerca de Dependabot alerts
Con Dependabot alerts, GitHub identifica las dependencias no seguras en los repositorios y crea alertas sobre GitHub Enterprise Server mediante el uso de datos de GitHub Advisory Database y el servicio de gráfico de dependencias.
Agregamos asesorías a la GitHub Advisory Database desde los siguientes orígenes:
- Asesorías de seguridad que se reportan en GitHub
- La base de datos de vulnerabilidades nacional
- La base de datos de advertencias de seguridad de npm
- La base de datos FriendsOfPHP
- La base de datos Go Vulncheck
- La base de datos de asesoramiento de empaquetado de Python
- La base de datos de asesoramiento de Ruby
- La base de datos de asesoramiento de RustSec
- Aportaciones de la comunidad. Para más información, vea https://github.com/github/advisory-database/pulls.
Si conoce otra base de datos de la que deberíamos importar avisos, háganoslo saber si abre un problema en https://github.com/github/advisory-database.
Después de que configure Dependabot para tu empresa, los datos de vulnerabilidad se sincronizan desde GitHub Advisory Database a tu instancia una vez cada hora. Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».
También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para más información, consulta Visualización de los datos de vulnerabilidad de la empresa.
Note
Al habilitar Dependabot alerts, no se carga ningún código ni información sobre el código de GitHub Enterprise Server en GitHub.com.
Cuando GitHub Enterprise Server recibe información sobre una vulnerabilidad, identifica los repositorios en los que se usa la versión afectada de la dependencia y genera Dependabot alerts. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Dependabot alerts nuevas o no.
Para los repositorios que cuenten con las Dependabot alerts habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Además, cuando se agrega un nuevo registro de vulnerabilidad, GitHub Enterprise Server examina todos los repositorios existentes y genera alertas para cualquier repositorio vulnerable. Para más información, consulta Acerca de las alertas Dependabot.
Acerca de Dependabot updates
Después de habilitar Dependabot alerts, puede habilitar Dependabot updates. Cuando se habilitan Dependabot updates para GitHub Enterprise Server, los usuarios pueden configurar los repositorios para que sus dependencias se actualicen y se mantengan seguras de forma automática.
Note
Dependabot updates en GitHub Enterprise Server necesita GitHub Actions con ejecutores autohospedados.
De forma predeterminada, los ejecutores de GitHub Actions que usa Dependabot necesitan acceso a Internet para descargar paquetes actualizados de administradores de paquetes ascendentes. Para Dependabot updates con tecnología de GitHub Connect, el acceso a Internet proporciona a los ejecutores un token que permite el acceso a dependencias y avisos hospedados en GitHub.com.
Puedes habilitar las Dependabot updates de registros privados específicos en instancias de GitHub Enterprise Server que tienen acceso limitado a Internet (o directamente no tienen). Para más información, consulta Configuración de Dependabot para funcionar con un acceso limitado a Internet.
Con Dependabot updates, GitHub crea automáticamente solicitudes de incorporación de cambios para actualizar las dependencias de dos maneras.
- Dependabot version updates : los usuarios agregan un archivo de configuración de Dependabot al repositorio a fin de habilitar Dependabot para crear solicitudes de incorporación de cambios cuando se publique una versión nueva de una dependencia de la que se realiza el seguimiento. Para más información, consulta Acerca de las actualizaciones a la versión del Dependabot.
- Dependabot security updates : los usuarios pueden alternar un valor del repositorio a fin de habilitar Dependabot para crear solicitudes de incorporación de cambios cuando GitHub detecte una vulnerabilidad en una de las dependencias del gráfico de dependencias del repositorio. Para más información, consulta Acerca de las alertas Dependabot y Sobre las actualizaciones de seguridad de Dependabot.
Habilitación de Dependabot alerts
Para poder habilitar Dependabot alerts, primero debes configurar Dependabot para tu empresa:
- Debe habilitar GitHub Connect. Para más información, consulta Habilitación de GitHub Connect para GitHub.com.
- Debes conectar la gráfica de dependencias. Para más información, consulta Habilitación del gráfico de dependencias para la empresa.
-
En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect .
-
En "Dependabot", a la derecha de "Descargue periódicamente GitHub Advisory Database para que los usuarios puedan recibir alertas de vulnerabilidad para dependencias de código abierto", selecciona el menú desplegable y haz clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haga clic en Habilitado con notificaciones.
Note
Esta configuración solo controla las notificaciones por correo electrónico y web. Los resúmenes de correo electrónico y las advertencias de la interfaz de la línea de comandos (CLI) seguirán entregándose independientemente de la opción seleccionada.
Tip
Se recomienda configurar Dependabot alerts sin notificaciones durante los primeros días para evitar una sobrecarga de notificaciones en tiempo real. Después de varios días, puede habilitar las notificaciones para recibir Dependabot alerts de la forma habitual.
Ahora puedes habilitar Dependabot alerts para todos los repositorios privados o nuevos e internos existentes en la página de configuración de empresa para "Seguridad y análisis del código". Como alternativa, los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para cada repositorio y organización. Los repositorios públicos están habilitados de forma predeterminada. Para más información, consulta Configuración de alertas de Dependabot.
Habilitación de Dependabot updates
Antes de poder habilitar Dependabot updates:
- Tienes que habilitar Dependabot alerts para tu empresa. Para obtener más información, consulta Habilitación de Dependabot alerts más arriba.
- Tienes que habilitar TLS. Dependabot updates se ejecutan en ejecutores autohospedados, que deben tener TLS habilitado. Para más información, consulta Introducción a los ejecutores autohospedados para la empresa.
- Tiene que configurar GitHub Enterprise Server para utilizar GitHub Actions con ejecutores autohospedados. Para más información, consulta Iniciar con GitHub Actions para GitHub Enterprise Server.
Dependabot updates no se admiten en los datos GitHub Enterprise Server si en la empresa se usa la agrupación en clústeres.
Note
Después de habilitar el gráfico de dependencias, puedes usar la acción Dependabot. La acción generará un error si se introducen vulnerabilidades o licencias no válidas. Para más información sobre la acción e instrucciones sobre cómo descargar la versión más reciente, consulta "Utilizar la última versión de las acciones empaquetadas oficiales".
-
Inicia sesión en tu instancia de GitHub Enterprise Server en
http(s)://HOSTNAME/login
. -
Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haga clic en .
-
Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.
-
En la barra lateral " Administrador del sitio", haz clic en Consola de administración .
-
En la barra lateral Settings, haga clic en Seguridad.
-
En "Seguridad", seleccione Dependabot security updates .
-
En la barra lateral "Configuración" , haga clic en Guardar configuración.
Note
Al guardar la configuración en Consola de administración se restablecen los servicios del sistema, lo que podría generar un tiempo de inactividad visible para el usuario.
-
Espera que se complete la fase de configuración.
-
Haga clic en Visitar la instancia.
-
Configura ejecutores autohospedados dedicados para crear las solicitudes de incorporación de cambios que van a actualizar las dependencias. Esto debes hacerlo porque los flujos de trabajo usan una etiqueta de ejecutor específica. Para más información, consulta Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa.
-
En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect .
-
En "Dependabot", a la derecha de "Los usuarios pueden actualizar fácilmente a dependencias de código abierto no vulnerables", haga clic en Habilitar.
Cuando habilitas las Dependabot alerts, deberías considerar también configurar las GitHub Actions para Dependabot security updates. Esta característica permite que los desarrolladores arreglen las vulnerabilidades en sus dependencias. Para más información, consulta Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa.
Si necesitas una seguridad mejorada, te recomendamos que configures Dependabot para usar registros privados. Para más información, consulta Configuración del acceso a registros privados para Dependabot.