Acerca de las notificaciones de Dependabot alerts
Cuando Dependabot detecta dependencias vulnerables en sus repositorios, generamos una alerta Dependabot y la mostramos en la pestaña Seguridad del repositorio. GitHub Enterprise Server notifica a los mantenedores de los repositorios afectados sobre la alerta nueva de acuerdo con sus preferencias de notificaciones.
Dependabot no genera Dependabot alerts para software malicioso. Para obtener más información, vea «Acerca de GitHub Advisory Database».
Independientemente de las preferencias de notificación, la primera vez que Dependabot se habilita, GitHub Enterprise Server no envía notificaciones a todas las dependencias vulnerables que se encuentran en el repositorio. En su lugar, recibirás notificaciones para las nuevas dependencias vulnerables identificadas después de que se haya habilitado Dependabot, siempre que las preferencias de notificación lo permitan.
De forma predeterminada, si el propietario de su empresa configuró las notificaciones por correo electrónico en ella, recibirá Dependabot alerts por este medio.
Los propietarios de empresas también pueden habilitar las Dependabot alerts sin notificaciones. Para obtener más información, vea «Habilitación de Dependabot para la empresa».
Configurar las notificaciones para las Dependabot alerts
Cuando se detecta una alerta nueva de Dependabot, GitHub Enterprise Server notifica a todos los usuarios del repositorio con acceso a las Dependabot alerts de acuerdo con sus preferencias de notificación. Recibirás las alertas si estás observando el repositorio, si habilitas las notificaciones para las alertas de seguridad para toda la actividad del repositorio y si es que no lo estás ignorando. Para obtener más información, vea «Configuración de notificaciones».
Puedes configurar los ajustes de notificaciones para ti mismo o para tu organización desde el menú desplegable de administrar notificaciones que se muestra en la parte superior de cada página. Para obtener más información, vea «Configuración de notificaciones».
Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. De manera predeterminada, si el propietario de su empresa ha configurado las notificaciones por correo electrónico en su instancia, recibirá Dependabot alerts:
- En la bandeja de entrada, como notificaciones web. Se enviará una notificación web cuando se habilite Dependabot en un repositorio, cuando se confirme un archivo de manifiesto nuevo en el repositorio y cuando se encuentre una vulnerabilidad nueva con gravedad crítica o alta (en la opción GitHub ).
- Por correo electrónico. Se envía un correo electrónico cuando se habilita Dependabot para un repositorio, cuando se confirma un archivo de manifiesto nuevo en el repositorio y cuando se encuentra una vulnerabilidad nueva de gravedad crítica o alta (la opción Correo electrónico).
- En la línea de comandos. Las advertencias se muestran como devoluciones de llamada al insertar en repositorios con cualquier dependencia no segura (opción de la CLI).
- En GitHub Mobile, como notificaciones web. Para obtener más información, vea «Configuración de notificaciones».
Nota: Las notificaciones por correo electrónico y web oGitHub Mobile son las siguientes:
-
Por repositorio cuando Dependabot se habilita en el repositorio o cuando se confirma un archivo de manifiesto nuevo en el repositorio.
-
Por organización cuando se descubre una vulnerabilidad nueva.
-
Se envía cuando se descubre una vulnerabilidad nueva. GitHub no envía notificaciones cuando se actualizan las vulnerabilidades.
Puedes personalizar la forma en que recibes notificaciones sobre Dependabot alerts. Por ejemplo, puedes recibir un correo electrónico semanal con el resumen de las alertas de hasta 10 de los repositorios mediante las opciones Email a digest summary of vulnerabilities y Weekly security email digest.
Nota: Puedes filtrar tus notificaciones en GitHub para mostrar Dependabot alerts. Para obtener más información, vea «Administrar las notificaciones en tu bandeja de entrada».
Las notificaciones por correo electrónico para Dependabot alerts que afectan a uno o más repositorios incluyen el campo de encabezado X-GitHub-Severity
. Puede usar el valor del campo de encabezado X-GitHub-Severity
para filtrar las notificaciones por correo electrónico de Dependabot alerts. Para más información, consulta "Configuración de notificaciones".
Cómo reducir el ruido de las notificaciones de Dependabot alerts
Si te preocupa recibir demasiadas notificaciones para las Dependabot alerts, te recomendamos que te unas al resumen semanal por correo electrónico o que apagues las notificaciones mientras mantienes habilitadas las Dependabot alerts. Aún puedes navegar para ver las Dependabot alerts en la pestaña Seguridad del repositorio. Para más información, consulta "Visualización y actualización de alertas de Dependabot".