About Dependabot for GitHub Enterprise Server
El Dependabot ayuda a que los usuarios de tu instancia de GitHub Enterprise Server encuentren y corrijan vulnerabilidades en sus dependencias. Puedes habilitar las Las alertas del dependabot para notificar a los usuarios sobre dependencias vulnerables y Actualizaciones del dependabot para corregir las vulnerabilidades y mantener actualziadas las dependencias a su última versión.
Acerca de Las alertas del dependabot
Con las Las alertas del dependabot, GitHub identifica las dependencias vulnerables en los repositorios y crea alertas en tu instancia de GitHub Enterprise Server utilizando datos de la GitHub Advisory Database y del servicio de la gráfica de dependencias.
Agregamos vulnerabilidades a la GitHub Advisory Database desde las siguientes fuentes:
- La National Vulnerability Database
- Una combinación de aprendizaje automático y revisión humana para detectar vulnerabilidades en confirmaciones públicas en GitHub
- Asesorías de seguridad que se reportan en GitHub
- La base de datos de Asesorías de seguridad de npm database
After you enable Las alertas del dependabot for your enterprise, vulnerability data is synced from the GitHub Advisory Database to your instance once every hour. Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información sobre los datos de las asesorías, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database" dentro de la documentación de GitHub.com.
También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para obtener más información, consulta la sección "Ver los datos de vulnerabilidad de tu empresa".
Note: When you enable Las alertas del dependabot, no code or information about code from tu instancia de GitHub Enterprise Server is uploaded to GitHub.com.
When tu instancia de GitHub Enterprise Server receives information about a vulnerability, it identifies repositories in tu instancia de GitHub Enterprise Server that use the affected version of the dependency and generates Las alertas del dependabot. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Las alertas del dependabot nuevas o no.
Para los repositorios que cuenten con las Las alertas del dependabot habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Additionally, when a new vulnerability record is added to tu instancia de GitHub Enterprise Server, GitHub Enterprise Server scans all existing repositories on tu instancia de GitHub Enterprise Server and generates alerts for any repository that is vulnerable. Para obtener más información, consulta la sección "Acerca deLas alertas del dependabot".
Acerca de Actualizaciones del dependabot
Nota: La seguridad y actualizaciones de versión del Dependabot se encuentran actualmente en beta privado y están sujetas a cambios. Por favor, contacta a tu equipo de administración de cuenta para obtener las instrucciones para habilitar las actualizaciones del Dependabot.
After you enable Las alertas del dependabot, you can choose to enable Actualizaciones del dependabot. When Actualizaciones del dependabot are enabled for tu instancia de GitHub Enterprise Server, users can configure repositories so that their dependencies are updated and kept secure automatically.
Note: Actualizaciones del dependabot on GitHub Enterprise Server requires GitHub Actions with self-hosted runners.
By default, GitHub Actions runners used by Dependabot need access to the internet, to download updated packages from upstream package managers. For Actualizaciones del dependabot powered by GitHub Connect, internet access provides your runners with a token that allows access to dependencies and advisories hosted on GitHub.com.
With Actualizaciones del dependabot, GitHub automatically creates pull requests to update dependencies in two ways.
- Actualizaciones de versión del dependabot: Los usuarios agregan un archivo de configuración del Dependabot al repositorio para habilitar el Dependabot para que cree solicitudes de cambios cuando se lance una versión nueva de una dependencia rastreada. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de versión del dependabot".
- Actualizaciones de seguridad del dependabot: Los usuarios pueden alternar un ajuste de repositorio para habilitar que el Dependabot cree solicitudes de cambios cuando GitHub detecta una vulnerabilidad en una de las dependencias de la gráfica de dependencias del repositorio. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot" y "Acerca de las Actualizaciones de seguridad del dependabot".
Habilitar Las alertas del dependabot
Before you can enable Las alertas del dependabot:
- You must enable GitHub Connect. For more information, see "Managing GitHub Connect."
- Debes conectar la gráfica de dependencias. Para obtener más información, consulta la sección "Habilitar la gráfica de dependencias para tu empresa".
-
En la esquina superior derecha de GitHub Enterprise Server, da clic en tu foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect.
-
Dabjo de "Se pueden escanear los repositorios para encontrar vulnerabilidades", selecciona el menú desplegable y haz clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haz clic en Habilitado con notificaciones.
Tip: Te recomendamos configurar las Las alertas del dependabot sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de algunos días, puedes habilitar las notificaciones para recibir las Las alertas del dependabot como de costumbre.
Cuando habilitas las Las alertas del dependabot, deberías considerar también configurar las GitHub Actions para Actualizaciones de seguridad del dependabot. Esta característica permite que los desarrolladores arreglen las vulnerabilidades en sus dependencias. Para obtener más información, consulta la sección "Administrar los ejecutores auto-hospedados para las Actualizaciones del dependabot en tu empresa".
If you need enhanced security, we recommend configuring Dependabot to use private registries. For more information, see "Managing encrypted secrets for Dependabot."