Skip to main content

Esta versión de GitHub Enterprise se discontinuará el 2022-09-28. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Acerca de la seguridad de la cadena de suministro

GitHub Enterprise Server te ayuda a asegurar tu cadena de suministro, desde entender las dependencias en tu ambiente hasta conocer las vulnerabilidades en dichas dependencias.

Acerca de la seguridad de la cadena de suministro en GitHub

Con el uso acelerado del código abierto, la mayoría de los proyectos dependen de cientos de dependencias de código abierto. Esto representa un problema de seguridad: ¿Qué pasa si las dependencias que estás utilizando son vulnerables? Podrías estár poniendo a tus usuarios en riego de un ataque a la cadena de suministro. Una de las cosas más importantes que puedes hacer para proteger a tu cadena de suministro es parchar tus dependencias vulnerables.

Puedes agregar dependencias directamente a tu cadena de suministro cuando las especificas en un archivo de bloqueo o de manifiesto. Las dependencias también se pueden incluir transitoriamiente, es decir, incluso si no especificas una dependencia en particual, pero una de tus dependencias la utiliza y por lo tanto también dependes de ella.

GitHub Enterprise Server ofrece un rango de características que te ayudan a entender las dependencias en tu ambiente y conocer las vulnerabilidades en dichas dependencias.

Las características de la cadena de suministro en GitHub Enterprise Server son:

  • Gráfica de dependencias
  • Revisión de dependencias
  • Las alertas del dependabot

La gráfica de dependencias es central para la seguridad de la cadena de suministro. La gráfica de dependencias identifica todas las dependencias en nivel ascendente y lso dependientes en niveles descendientes públicos de un repositorio o paquete. Puedes ver las dependencias de tu repositorio y algunas de sus propiedades, como la información sobre las vulnerabilidades, en la gráfica de dependencias del repositorio.

Otras características de la cadena de suministro en GitHub dependen de la información que proporciona la gráfica de dependencias.

  • La revisión de dependencias utiliza la gráfica de dependencias para identificar los cambios en las dependencias y ayudarte a entender el impacto de seguridad de estos cambios cuando revisas las soliciutudes de cambios.
  • El Dependabot hace referencias cruzadas de los datos de las dependencias que proporciona la gráfica de dependencias con la lista de asesorías publicada en la GitHub Advisory Database, escanea tus dependencias y genera Las alertas del dependabot cuando se detecta una vulnerabilidad potencial.

Para encontrar una guía de mejores prácticas en la seguridad de la cadena de suministro de extremo a extremo, incluyendo la protección de cuetnas personales, código y procesos de compilación, cosulta la sección "Asegurar tu cadena de suminsitro de extremo a extremo".

Resumen de características

¿Qué es la gráfica de dependencias?

Para generar la gráfica de dependencias, GitHub toma las dependencias explícitas de un repositorio, las cuale se declaran en los archivos de bloqueo y de manifiesto. Cuando se habilita, la gráfica de dependencias analiza automáticamente todos los archivos de manifiesto de paquetes conocidos en el repositorio y los utiliza para construir una gráfica con nombres y versiones de las dependencias conocidas.

  • La gráfica de dependencias incluye información en tus dependencias directas y transitorias.
  • La gráfica de dependencias se actualiza automáticamente cuando subes una confirmación a GitHub que cambia o agrega un archivo de bloqueo o de manifiesto a la rama predeterminada y cuando alguien sube un cambio al repositorio de alguna de tus dependencias.
  • Puedes ver la gráfica de dependencias si abres la página principal del repositorio en GitHub Enterprise Server y navegas a la pestaña de perspectivas.

Para obtener más información sobre la gráfica de dependencias, consulta la sección "Acerca de la gráfica de dependencias".

¿Qué es la revisión de dependencias?

La revisión de dependencias ayuda a que los contribuyentes y revisores entiendan los cambios a las dependencias y su impacto de seguridad en todas las solicitudes de cambio.

  • La revisión de dependencias te indica qué dependencias se agregaron, eliminaron o actualizaron en una solicitud de cambios. Puedes utilizar las fechas de lanzamiento, popularidad de las dependencias e información de vulnerabilidad para ayudarte a decidir si quieres o no aceptar el cambio.
  • Puedes ver la revisión de dependencias para una solicitud de cambios si muestras el diff enriquecido en la pestaña de Archivos que cambiaron.

Para obtener más información sobre la revisión de dependencias, consulta la sección "Acerca de la revisión de dependencias".

¿Qué es el Dependabot?

Dependabot mantiene actualizadas tus dependencias informándote de cualquier vulnerabilidad de seguridad en ellas para que puedas actualziarla..

¿Qué son las alertas del Dependabot?

Las Las alertas del dependabot resaltan los repositorios afectados por una vulnerabilidad recién descubierta con base en la gráfica de dependencias y la GitHub Advisory Database, la cual contiene asesorías para las vulnerabilidades conocidas.

  • El Dependabot lleva a cabo un escaneo para detectar dependencias inseguras y envía Las alertas del dependabot cuando:

  • Las Las alertas del dependabot se muestran en la pestaña de Seguridad del repositorio y en la gráfica de dependencias del repositorio. La alerta incluye un enlace al archivo afectado en el proyecto einformación sobre una versión corregida.

Para obtener más información, consulta la sección "Acerca deLas alertas del dependabot".

Disponibilidad de características

  • Gráfica de dependencias y Las alertas del dependabot—no habilitadas predeterminadamente. Ambas características se configuran a nivel empresarial por el propietario de la empresa. Para obtener más información, consulta la sección "Habilitar la gráfica de dependencias para tu empresa" y "Habilitar el Dependabot para tu empresa".
  • Revisión de dependencias—disponible cuando se habilita la gráfica de dependencias para tu instancia de GitHub Enterprise Server y cuando se habilita la Advanced Security para la organización o el repositorio. Para obtener más información, consulta la sección "Acerca de la GitHub Advanced Security".