Skip to main content

Configurar las actualizaciones de seguridad del Dependabot

Puedes utilizar las Actualizaciones de seguridad del dependabot o las solicitudes de extracción manuales para actualizar fácilmente las dependencias vulnerables.

Nota: La seguridad y actualizaciones de versión del Dependabot se encuentran actualmente en beta privado y están sujetas a cambios. Por favor, contacta a tu equipo de administración de cuenta para obtener las instrucciones para habilitar las actualizaciones del Dependabot.

Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

Acerca de la configuración de las Actualizaciones de seguridad del dependabot

Puedes habilitar las Actualizaciones de seguridad del dependabot para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Puedes inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual o para todos los repositorios que pertenezcan a tu organización o cuenta personal. Para obtener más información, consulta la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios" acontinuación.

Repositorios soportados

GitHub habilita las Actualizaciones de seguridad del dependabot automáticamente para cada repositorio que cumpla con estos pre-requisitos.

Nota: Puedes habilitar manualmente las Actualizaciones de seguridad del dependabot, aún si el repositorio no cumple con alguno de los siguientes prerrequisitos. Por ejemplo, puedes habilitar las Actualizaciones de seguridad del dependabot en una bifurcación, o para un administrador de paquetes que no sea directamente compatible si sigues las instrucciones en la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios".

Pre-requisito de habilitación automáticaMás información
Que el repositorio no sea una bifrucación"Acerca de las bifurcaciones"
Que el repositorio no esté archivado"Archivar repositorios"
Que el repositorio contenga un archivo de manifiesto de dependencias de un ecosistema de paquete que sea compatible con GitHub"Ecosistemas de paquete compatibles"
Las Actualizaciones de seguridad del dependabot no se han inhabilitado para el repositorio"Administrar las Actualizaciones de seguridad del dependabot para tu repositorio"

Si no se habilitan las actualizaciones de seguridad para tu repositorio y no sabes por qué, intenta primero habilitarles de acuerdo con las instrucciones que se encuentran en los procedimientos siguientes. Si las actualizaciones de seguridad aún no funcionan, puedes contactar al tu administrador de sitio.

Administrar las Actualizaciones de seguridad del dependabot para tus repositorios

Puedes habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual (ver a continuación).

También puedes habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para todos los repositorios que pertenezcan a tu cuenta de usuario personal. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu cuenta personal" o "Administrar los ajustes de seguridad y análisis para tu organización".

Las Actualizaciones de seguridad del dependabot requieren de configuraciones de repositorio específicas. Para obtener más información, consulta "Repositorios soportados".

Habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual.

  1. En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.

  2. Debajo de tu nombre de repositorio, da clic en Configuración. Botón de configuración del repositorio

  3. En la barra lateral izquierda, da clic en Seguridad & análisis. pestaña de "Seguridad & análisis" en la configuración de repositorio

  4. Debajo de "Análisis y seguridad del código", a la derecha de "Actualizaciones de seguridad del Dependabot", haz clic en Habilitar para habilitar la característica o en Inhabilitar para inhabilitarla. Screenshot of "Code security and analysis" section with button to enable Actualizaciones de seguridad del dependabot

Anular el comportamiento predeterminado con un archivo de configuración

Puedes anular el comportamiento predeterminado de las Actualizaciones de seguridad del dependabot si agregas un archivo de dependabot.yml a tu repositorio. Para obtener más información, consulta la sección "Opciones de configuración para el archivo dependabot.yml".

Si solo requieres actualizaciones de seguridad y quieres excluir las actualizaciones de versión, puedes configurar a open-pull-request-limit para que sea 0 para prevenir a las actualizaciones de versión de algún package-ecosystem. Para obtener más información, consulta "open-pull-request-limit".

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

Para obtener más información sobre las opciones de configuración disponibles para las actualizaciones de seguridad, consulta la tabla en la sección "Opciones de configuración para el archivo dependabot.yml".

Leer más