Skip to main content

Acerca de Evaluación de prioridades automática de Dependabot

Evaluación de prioridades automática de Dependabot son una herramienta eficaz para ayudarle a administrar mejor las alertas de seguridad a gran escala. Valores preestablecidos de GitHub son reglas mantenidas por GitHub que puede usar para filtrar una cantidad sustancial de falsos positivos. Reglas de evaluación de prioridades automática personalizadas proporcionan control sobre qué alertas se omiten, se posponen o desencadenan una actualización de seguridad de Dependabot para resolver la alerta.

¿Quién puede utilizar esta característica?

Evaluación de prioridades automática de Dependabot están disponibles para los siguientes tipos de repositorio:

  • Todos los repositorios de Valores preestablecidos de GitHub
  • Repositorios propiedad de una organización que tengan habilitado GitHub Advanced Security para reglas de evaluación de prioridades automática personalizadas

Acerca de Evaluación de prioridades automática de Dependabot

Evaluación de prioridades automática de Dependabot permiten indicar a Dependabot que evalúen automáticamente Dependabot alerts. Puede usar reglas de evaluación de prioridades automática para descartar o posponer automáticamente ciertas alertas, o especificar las alertas para las que desea que Dependabot abra solicitudes de cambios.

Hay dos tipos de Evaluación de prioridades automática de Dependabot:

  • Valores preestablecidos de GitHub
  • Reglas de evaluación de prioridades automática personalizadas

Acerca de Valores preestablecidos de GitHub

Note

Valores preestablecidos de GitHub para Dependabot alerts son reglas que están disponibles para todos los repositorios.

Valores preestablecidos de GitHub son reglas mantenidas por GitHub. Dismiss low impact issues for development-scoped dependencies es una regla preestablecida GitHub. Esta regla descarta automáticamente determinados tipos de vulnerabilidades que se encuentran en las dependencias de npm que se usan en el desarrollo. La regla se ha mantenido para reducir los falsos positivos y reducir la fatiga de las alertas. No se puede modificar Valores preestablecidos de GitHub. Para obtener más información sobre Valores preestablecidos de GitHub, consulte "Uso de reglas preestablecidas de GitHub para priorizar las alertas de Dependabot".

La regla está habilitada de forma predeterminada para los repositorios públicos y se puede optar por los repositorios privados. Puedes habilitar la regla para un repositorio privado a través de la pestaña Configuración del repositorio. Para obtener más información, consulta Habilitación de la regla Dismiss low impact issues for development-scoped dependencies para el repositorio privado.

Acerca de reglas de evaluación de prioridades automática personalizadas

Note

Reglas de evaluación de prioridades automática personalizadas para Dependabot alerts están disponibles para los repositorios propiedad de una organización de GitHub Enterprise Server, para aquellas organizaciones que tienen habilitado GitHub Advanced Security

Con reglas de evaluación de prioridades automática personalizadas, puede crear sus propias reglas para descartar o volver a abrir automáticamente las alertas basándose en metadatos específicos, como gravedad, nombre del paquete, CWE, etc. También puede especificar para qué alertas desea que Dependabot abra solicitudes de cambios. Para más información, consulta Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot.

Puedes crear reglas personalizadas desde la pestaña Configuración del repositorio, siempre que el repositorio pertenezca a una organización que tenga una licencia para GitHub Advanced Security. Para obtener más información, consulta Adición de reglas de evaluación automática personalizadas al repositorio.

Acerca de las alertas de descarte automático

Aunque es posible que resulte útil usar reglas de evaluación de prioridades automática para descartar automáticamente las alertas, puede volver a abrir dichas alertas y filtrarlas para ver cuáles de ellas se han descartado automáticamente. Para más información, consulta Administración de alertas que se han descartado automáticamente por una regla de evaluación de prioridades automática de Dependabot.

Además, las alertas descartadas automáticamente siguen estando disponibles para la generación de informes y la revisión, y se pueden volver a abrir si los metadatos de la alerta cambian, por ejemplo:

  • Si cambias el ámbito de una dependencia de desarrollo a producción.
  • Si GitHub modifica determinados metadatos del aviso correspondiente.

Las alertas descartadas automáticamente se definen con el motivo de cierre resolution:auto-dismiss. La actividad de descarte automático se incluye en webhooks de alertas, API REST y GraphQL, y en el registro de auditoría. Para más información, consulta Puntos de conexión de la API de REST para Dependabot alerts y la sección "repository_vulnerability_alert" en Revisar el registro de auditoría de tu organización.

Información adicional