Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Solucionar problemas en la detección de dependencias vulnerables

Si la información de la dependencia que reportó GitHub Enterprise Server no es lo que esperabas, hay varios puntos a considerar y varias cosas que puedes revisar.

Los resultados de la detección de dependencias que reporta GitHub Enterprise Server pueden ser diferentes a aquellos que devuelven otras herramientas. Esto está justificado y es útil el entender cómo GitHub determina las dependencias para tu proyecto.

¿Por qué parece que faltan algunas dependencias?

GitHub genera y muestra los datos de las dependencias de forma diferente a otras herramientas. En consecuencia, si has estado utilizando otra herramienta para identificar dependencias, muy probablemente encuentres resultados diferentes. Considera lo sigueinte:

  • GitHub Advisory Database es una de las fuentes de datos que utiliza GitHub para identificar las dependencias vulnerables. Es una base de datos de información de vulnerabilidades orgtanizada y gratuita para los ecosistemas de paquetes comunes en GitHub. Esta incluye tanto los datos reportados directamente a GitHub desde GitHub Security Advisories, así como las fuentes oficiales y las comunitarias. GitHub revisa y organiza estos datos para garantizar que la información falsa o inprocesable no se comparta con la comunidad de desarrollo. Para obtener más información sobre los datos de las asesorías, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database" dentro de la documentación de GitHub.com.

  • La gráfica de dependencias analiza todos los archivos de manifiesto de paquetes conocidos en un repositorio de usuario. Por ejemplo, para npm analizará el archivo package-lock.json. Construye una gráfica de todas las dependencias del repositorio y de los dependientes públicos. Esto sucede cuando habilitas la gráfica de dependencias y cuando alguien hace cargas a la rama predeterminada, y esto incluye a las confirmaciones que hacen cambios a un formato de manifiesto compatible. For more information, see "About the dependency graph" and "Troubleshooting the dependency graph."

  • Dependabot escanea cualquier subida a la rama predeterminada que contenga un archivo de manifiesto. Cuando se agrega un registro de vulnerabilidad nuevo, este escanea todos los repositorios existentes y genera una alerta para cada repositorio vulnerable. Las Las alertas del dependabot se agregan a nivel del repositorio, en vez de crear una alerta por cada vulnerabilidad. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".

  • El Dependabot no escanea los repositorios para encontrar dependencias vulnerables en horarios específicos, sino cuando algo cambia. Por ejemplo, se activará un escaneo cuando se agregue una dependencia nueva (GitHub verifica esto en cada subida) o cuando se agrega una vulnerabilidad a la base de datos de las asesorías y se sincroniza con tu instancia de GitHub Enterprise Server. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".

Do Las alertas del dependabot only relate to vulnerable dependencies in manifests and lockfiles?

Las Las alertas del dependabot te asesoran sobre las dependencias que debes actualizar, incluyendo aquellas transitivas en donde la versión se puede determinar desde un manifiesto o lockfile.

Verifica; ¿Acaso no se especifica la vulnerabilidad no detectada para un componente en el manifiesto o lockfile del repositorio?

¿Por qué no me llegan alertas de vulnerabilidades de algunos ecosistemas?

GitHub limita su soporte para alertas de vulnerabilidades a un conjunto de ecosistemas donde podemos proporcionar datos procesables de alta calidad. Las vulnerabilidades que se seleccionan para la GitHub Advisory Database, la gráfica de dependencias, las actualizaciones de seguridad del y las Las alertas del dependabot se proporcionan para diversos ecosistemas, incluyendo Maven de Java, Yarn y npm de Javascript, NuGet de .NET, pip de Python, RubyGems de Ruby y Composer de PHP. Seguiremos agregando soporte para más ecosistemas a la larga. Para obtener una vista general de los ecosistemas de paquete que soportamos, consulta la sección "Acerca del gráfico de dependencias".

No vale de nada que las Asesorías de Seguridad de GitHub pudiese existir para otros ecosistemas. La información en una asesoría de seguridad la porporcionan los mantenedores de un repositorio específico. Estos datos no se organizan de la misma forma que la información para los ecosistemas compatibles.

Verifica: ¿Acaso la vulnerabilidad que no se detectó aplica a algún ecosistema no compatible?

¿Acaso el Dependabot genera alertas para vulnerabilidades que se han conocido por muchos años?

La GitHub Advisory Database se lanzó en noviembre de 2019 e incialmente rellenó la inclusión de vulnerabilidades informáticas para los ecosistemas compatibles, comenzando en 2017. Cuando agregas CVE a la base de datos, priorizamos la organización de CVE nuevos y los CVE que afecten las versiones nuevas del software.

Alguna información sobre las vulnerabilidades antiguas se encuentra disponible, especialmente en donde estos CVE se diseminan específicamente, sin embargo, algunas vulnerabilidades no se incluyen en la GitHub Advisory Database. Si hay una vulnerabilidad antigua específica la cual necesites incluir en la base de datos, contacta a tu administrador de sitio.

Verifica: ¿Acaso la vulnerabilidad no detectada tiene una fecha depublicación más antigua de 2017 en la Base de Datos de Vulnerabilidades Nacional?

Por qué la GitHub Advisory Database utiliza un subconjunto de datos de vulnerabilidades publicados?

Algunas herramientas de terceros utilizan datos de CVE sin organizar y no las verificó ni filtró un humano. Esto significa que los CVE con errores de etiquetado o de severidad, o con cualquier problema de calidad, causarán alertas más frecuentes, ruidosas y menos útiles.

Ya que Dependabot utiliza datos organizado en la GitHub Advisory Database, la cantidad de alertas podría ser menor, pero las alertas que sí recibas serán exactas y relevantes.

Leer más