Skip to main content

Ver y actualizar las alertas del Dependabot

Si GitHub Enterprise Server descubre dependencias inseguras en tu proyecto, puedes ver los detalles en la pestaña de alertas del Dependabot de tu repositorio. Luego, puedes actualizar tu proyecto para resolver o descartar la alerta.

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

Nota: La seguridad del Dependabot y las actualizaciones de versión actualmente se encuentran en beta público y están sujetas a cambios.

Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

La pestaña de Las alertas del dependabot de tu repositorio lista todas lasLas alertas del dependabot abiertas y cerradas, así como las Actualizaciones de seguridad del dependabot correspondientes. Puedes ordenar la lista de alertas y hacer clic en aquellas específicas para ver más detalles. También puedes descartar o volver a abrir las alertas. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".

Puedes habilitar las alertas de seguridad automáticas para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio

GitHub Enterprise Server genera Las alertas del dependabot cuando detectamos que tu base de còdigo està utilizando dependencias con riesgos de seguridad conocidos. Para los repositorios en donde se habilitan las Actualizaciones de seguridad del dependabot cuando GitHub Enterprise Server detecta una dependencia vulnerable en la rama predeterminada, Dependabot crea una solicitud de cambios para arreglarla. La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.

Ver las Las alertas del dependabot

  1. En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".Las alertas del dependabot tab
  4. Haz clic en la alerta que quieres ver. Alerta seleccionada en la lista de alertas

Revisar y corregir las alertas

Es importante garantizar que todas tus dependencias estén libres de cualquier debilidad de seguridad. Cuando el Dependabot descubre vulnerabilidades en tus dependencias, deberías evaluar el nivel de exposición de tu proyecto y determinar qué pasos de remediación tomar para asegurar tu aplicación.

Si una versión parchada de la dependencia está disponible, peudes generar una solicitud de cambios del Dependabot para actualizar esta dependencia directamente desde una alerta del Dependabot. Si tienes habilitadas las Actualizaciones de seguridad del dependabot, la solicitud de cambios podría estar vinculada en la alerta del Dependabot.

En los casos en donde no está disponible una versión parchada o en donde no puedes actualizar a la versión segura, el Dependabot comparte información adicional para ayudarte a determinar los siguientes pasos. Cuando haces clilc para ver una alerta del Dependabot, puedes ver todos los detalles de la asesoría de seguridad para la dependencia, incluyendo las funciones afectadas. Entonces, pudes verificar si tu código llama a dichas funciones impactadas. Esta información puede ayudarte a valorar más profundamente tu nivel de riesgo y determinar las soluciones alternas o a saber si tienes que aceptar el riesgo que representa la asesoría de seguridad.

Fijar las dependencias vulnerables

  1. Ver los detalles de una alerta. Para obtener más información, consulta la sección "Ver las Las alertas del dependabot" (anteriormente).

  2. Si tienes habilitadas las Actualizaciones de seguridad del dependabot, podrìa haber un enlace a una solicitud de cambios que corrija la dependencia. Como alternativa, puedes hacer clic en Crear actualización de seguridad del Dependabot en la parte superior de la página de detalles de la alerta para crear una solicitud de cambios. Crea un botón de actualización de seguridad del Dependabot

  3. Opcionalmente, si no utilizas las Actualizaciones de seguridad del dependabot, puedes utilizar la información en la página para decidir a qué versión de la dependencia actualizar y crear una solicitud de cambios para actualizar la dependencia a una versión segura.

  4. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

    Cada solicitud de extracción que levante el Dependabot incluye información sobre los comandos que puedes utilizar para controlar el Dependabot. Para obtener más información, consulta la sección "Adminsitrar las solicitudes de extracción para las actualizaciones de las dependencias".

Descartar las Las alertas del dependabot

Tip: Solo puedes descartar las alertas abiertas.

Si programas mucho trabajo para actualizar una dependencias o decides que una alerta no necesita corregirse, puedes descartar la alerta. El descartar alertas que ya valoraste facilita clasificar las nuevas que aparecen.

  1. Ver los detalles de una alerta. Para obtener más información, consulta la sección "Ver las dependencias vulnerables" (anteriormente).
  2. Selecciona el menú desplegable de "Descartar" y haz clic en una razón para descartar la alerta. Elegir una razón para descartar la alerta a través del menú desplegable de "Descartar"