Skip to main content

Habilitación de Dependabot para la empresa

Puede dejar que los usuarios busquen y corrijan vulnerabilidades en dependencias de código mediante la configuración de Dependabot alerts y Dependabot updates.

¿Quién puede utilizar esta característica?

Enterprise owners can set up Dependabot.

Acerca de Dependabot para GitHub Enterprise Server

Dependabot ayuda a que los usuarios busquen y corrijan vulnerabilidades en sus dependencias.. Primero tiene que configurar Dependabot para la empresa, y luego puede habilitar Dependabot alerts para informar a los usuarios de las dependencias vulnerables y Dependabot updates para corregir las vulnerabilidades y mantener actualizadas las dependencias en la versión más reciente.

Dependabot es solo una de las numerosas características disponibles para proteger la seguridad de la cadena de suministro de GitHub. Para obtener más información sobre las otras características, consulta Acerca de la seguridad de la cadena de suministro para la empresa.

Acerca de Dependabot alerts

Con Dependabot alerts, GitHub identifica las dependencias no seguras en los repositorios y crea alertas sobre GitHub Enterprise Server mediante el uso de datos de GitHub Advisory Database y el servicio de gráfico de dependencias.

Agregamos asesorías a la GitHub Advisory Database desde los siguientes orígenes:

Si conoce otra base de datos de la que deberíamos importar avisos, háganoslo saber si abre un problema en https://github.com/github/advisory-database.

Después de que configure Dependabot para tu empresa, los datos de vulnerabilidad se sincronizan desde GitHub Advisory Database a tu instancia una vez cada hora. Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».

También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para más información, consulta Visualización de los datos de vulnerabilidad de la empresa.

Note

Al habilitar Dependabot alerts, no se carga ningún código ni información sobre el código de GitHub Enterprise Server en GitHub.com.

Cuando GitHub Enterprise Server recibe información sobre una vulnerabilidad, identifica los repositorios en los que se usa la versión afectada de la dependencia y genera Dependabot alerts. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Dependabot alerts nuevas o no.

Para los repositorios que cuenten con las Dependabot alerts habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Además, cuando se agrega un nuevo registro de vulnerabilidad, GitHub Enterprise Server examina todos los repositorios existentes y genera alertas para cualquier repositorio vulnerable. Para más información, consulta Acerca de las alertas Dependabot.

Acerca de Dependabot updates

Después de habilitar Dependabot alerts, puede habilitar Dependabot updates. Cuando se habilitan Dependabot updates para GitHub Enterprise Server, los usuarios pueden configurar los repositorios para que sus dependencias se actualicen y se mantengan seguras de forma automática.

Note

Dependabot updates en GitHub Enterprise Server necesita GitHub Actions con ejecutores autohospedados.

De forma predeterminada, los ejecutores de GitHub Actions que usa Dependabot necesitan acceso a Internet para descargar paquetes actualizados de administradores de paquetes ascendentes. Para Dependabot updates con tecnología de GitHub Connect, el acceso a Internet proporciona a los ejecutores un token que permite el acceso a dependencias y avisos hospedados en GitHub.com.

Puedes habilitar las Dependabot updates de registros privados específicos en instancias de GitHub Enterprise Server que tienen acceso limitado a Internet (o directamente no tienen). Para más información, consulta Configuración de Dependabot para funcionar con un acceso limitado a Internet.

Con Dependabot updates, GitHub crea automáticamente solicitudes de incorporación de cambios para actualizar las dependencias de dos maneras.

  • Dependabot version updates : los usuarios agregan un archivo de configuración de Dependabot al repositorio a fin de habilitar Dependabot para crear solicitudes de incorporación de cambios cuando se publique una versión nueva de una dependencia de la que se realiza el seguimiento. Para más información, consulta Acerca de las actualizaciones a la versión del Dependabot.
  • Dependabot security updates : los usuarios pueden alternar un valor del repositorio a fin de habilitar Dependabot para crear solicitudes de incorporación de cambios cuando GitHub detecte una vulnerabilidad en una de las dependencias del gráfico de dependencias del repositorio. Para más información, consulta Acerca de las alertas Dependabot y Sobre las actualizaciones de seguridad de Dependabot.

Habilitación de Dependabot alerts

Para poder habilitar Dependabot alerts, primero debes configurar Dependabot para tu empresa:

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.

    Captura de pantalla del menú desplegable que aparece al hacer clic en la foto de perfil en GitHub Enterprise Server. La opción "Configuración de Enterprise" está resaltada en un contorno naranja oscuro.

  2. En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect .

  3. En "Dependabot", a la derecha de "Descargue periódicamente GitHub Advisory Database para que los usuarios puedan recibir alertas de vulnerabilidad para dependencias de código abierto", selecciona el menú desplegable y haz clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haga clic en Habilitado con notificaciones.

    Captura de pantalla del menú desplegable "Habilitar" para Dependabot alerts, que muestra las opciones disponibles.

    Note

    Esta configuración solo controla las notificaciones por correo electrónico y web. Los resúmenes de correo electrónico y las advertencias de la interfaz de la línea de comandos (CLI) seguirán entregándose independientemente de la opción seleccionada.

    Tip

    Se recomienda configurar Dependabot alerts sin notificaciones durante los primeros días para evitar una sobrecarga de notificaciones en tiempo real. Después de varios días, puede habilitar las notificaciones para recibir Dependabot alerts de la forma habitual.

Ahora puedes habilitar Dependabot alerts para todos los repositorios privados o nuevos e internos existentes en la página de configuración de empresa para "Seguridad del código". Como alternativa, los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para cada repositorio y organización. Los repositorios públicos están habilitados de forma predeterminada. Para más información, consulta Configuración de alertas de Dependabot.

Habilitación de Dependabot updates

Antes de poder habilitar Dependabot updates:

Dependabot updates no se admiten en los datos GitHub Enterprise Server si en la empresa se usa la agrupación en clústeres.

Note

Después de habilitar el gráfico de dependencias, puedes usar la acción Dependabot. La acción generará un error si se introducen vulnerabilidades o licencias no válidas. Para más información sobre la acción e instrucciones sobre cómo descargar la versión más reciente, consulta "Utilizar la última versión de las acciones empaquetadas oficiales".

  1. Inicia sesión en tu instancia de GitHub Enterprise Server en http(s)://HOSTNAME/login.

  2. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haga clic en .

  3. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

  4. En la barra lateral " Administrador del sitio", haz clic en Consola de administración .

  5. En la barra lateral Settings, haga clic en Seguridad.

  6. En "Seguridad", seleccione Dependabot security updates .

  7. En la barra lateral "Configuración" , haga clic en Guardar configuración.

    Note

    Al guardar la configuración en Consola de administración se restablecen los servicios del sistema, lo que podría generar un tiempo de inactividad visible para el usuario.

  8. Espera que se complete la fase de configuración.

  9. Haga clic en Visitar la instancia.

  10. Configura ejecutores autohospedados dedicados para crear las solicitudes de incorporación de cambios que van a actualizar las dependencias. Esto debes hacerlo porque los flujos de trabajo usan una etiqueta de ejecutor específica. Para más información, consulta Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa.

  11. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.

    Captura de pantalla del menú desplegable que aparece al hacer clic en la foto de perfil en GitHub Enterprise Server. La opción "Configuración de Enterprise" está resaltada en un contorno naranja oscuro.

  12. En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect .

  13. En "Dependabot", a la derecha de "Los usuarios pueden actualizar fácilmente a dependencias de código abierto no vulnerables", haga clic en Habilitar.

Cuando habilitas las Dependabot alerts, deberías considerar también configurar las GitHub Actions para Dependabot security updates. Esta característica permite que los desarrolladores arreglen las vulnerabilidades en sus dependencias. Para más información, consulta Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa.

Si necesitas una seguridad mejorada, te recomendamos que configures Dependabot para usar registros privados. Para más información, consulta Configuración del acceso a registros privados para Dependabot.