Skip to main content

Esta versión de GitHub Enterprise se discontinuará el 2022-09-28. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Ver y actualizar las alertas del Dependabot

Si GitHub Enterprise Server descubre dependencias inseguras en tu proyecto, puedes ver los detalles en la pestaña de alertas del Dependabot de tu repositorio. Luego, puedes actualizar tu proyecto para resolver o descartar la alerta.

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

La pestaña de Las alertas del dependabot de tu repositorio lista todas lasLas alertas del dependabot abiertas y cerradas. Puedes ordenar la lista de alertas y hacer clic en aquellas específicas para ver más detalles. También puedes descartar o volver a abrir las alertas. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".

Ver las Las alertas del dependabot

  1. En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".Las alertas del dependabot tab
  4. Haz clic en la alerta que quieres ver. Alerta seleccionada en la lista de alertas

Revisar y corregir las alertas

Es importante garantizar que todas tus dependencias estén libres de cualquier debilidad de seguridad. Cuando el Dependabot descubre vulnerabilidades en tus dependencias, deberías evaluar el nivel de exposición de tu proyecto y determinar qué pasos de remediación tomar para asegurar tu aplicación.

Si una versión parchada de la dependencia está disponible, peudes generar una solicitud de cambios del Dependabot para actualizar esta dependencia directamente desde una alerta del Dependabot. Si tienes habilitadas las Actualizaciones de seguridad del dependabot, la solicitud de cambios podría estar vinculada en la alerta del Dependabot.

En los casos en donde no está disponible una versión parchada o en donde no puedes actualizar a la versión segura, el Dependabot comparte información adicional para ayudarte a determinar los siguientes pasos. Cuando haces clilc para ver una alerta del Dependabot, puedes ver todos los detalles de la asesoría de seguridad para la dependencia, incluyendo las funciones afectadas. Entonces, pudes verificar si tu código llama a dichas funciones impactadas. Esta información puede ayudarte a valorar más profundamente tu nivel de riesgo y determinar las soluciones alternas o a saber si tienes que aceptar el riesgo que representa la asesoría de seguridad.

Fijar las dependencias vulnerables

  1. Ver los detalles de una alerta. Para obtener más información, consulta la sección "Ver las Las alertas del dependabot" (anteriormente).

  2. Puedes utilizar la información en la página para decidir a qué versión de la dependencia actualizar y crear una solicitud de cambios para que el archivo de bloqueo o de manifiesto se actualicen a una versión segura.

  3. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

Descartar las Las alertas del dependabot

Tip: Solo puedes descartar las alertas abiertas.

Si programas mucho trabajo para actualizar una dependencias o decides que una alerta no necesita corregirse, puedes descartar la alerta. El descartar alertas que ya valoraste facilita clasificar las nuevas que aparecen.

  1. Ver los detalles de una alerta. Para obtener más información, consulta la sección "Ver las dependencias vulnerables" (anteriormente).
  2. Selecciona el menú desplegable de "Descartar" y haz clic en una razón para descartar la alerta. Elegir una razón para descartar la alerta a través del menú desplegable de "Descartar"