Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
All products
Seguridad de código

Esta versión de GitHub Enterprise se discontinuó el 2023-03-15. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Visualización y actualización de alertas de Dependabot

En este artículo

Si GitHub Enterprise Server descubre dependencias no seguras en tu proyecto, podrás ver los detalles en la pestaña de alertas del Dependabot de tu repositorio. Después, podrás actualizar tu proyecto para resolver o descartar la alerta.

Quién puede usar esta característica

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

**Nota:** Las actualizaciones de seguridad y versión de Dependabot se encuentran actualmente en versión beta pública y están sujetas a cambios.

Nota: Para poder utilizar esta característica, el administrador del sitio debe configurar Dependabot updates para tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Habilitación de Dependabot para la empresa».

En la pestaña Dependabot alerts del repositorio se muestran todas las Dependabot alerts abiertas y cerradas y las correspondientes Dependabot security updates. Puedes ordenar la lista de alertas y hacer clic en ellas para obtener más detalles. También puedes descartar o volver a abrir alertas. Para obtener más información, consulta "Acerca de las alertas Dependabot".

Puedes habilitar las actualizaciones automáticas de seguridad para cualquier repositorio que use Dependabot alerts y el gráfico de dependencias. Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot».

Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio

GitHub Enterprise Server genera Dependabot alerts cuando detectamos que tu código base está utilizando dependencias con riesgos de seguridad conocidos. Para los repositorios en donde se habilitan las Dependabot security updates cuando GitHub Enterprise Server detecta una dependencia vulnerable en la rama predeterminada, Dependabot crea una solicitud de cambios para arreglarla. La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.

Cada alerta del Dependabot tiene un identificador numérico único y la pestaña de Dependabot alerts lista una alerta por cada vulnerabilidad detectada. Las Dependabot alerts tradicionales agrupan vulnerabilidades por dependencia y generan una sola alerta por dependencia. Si navegas a una alerta tradicional del Dependabot, se te redirigirá a una pestaña de Dependabot alerts filtradas para este paquete.

Visualización de Dependabot alerts

  1. En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro. 1. En la barra lateral "Alertas de vulnerabilidad" de la página Información general de seguridad, haz clic en Dependabot . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio". Captura de pantalla de la página de información general de seguridad, con la pestaña "Dependabot" resaltada con un contorno naranja oscuro.
  2. Haga clic en la alerta que desea ver.

Revisión y corrección de alertas

Es importante asegurarse de que todas las dependencias estén limpias de cualquier punto débil de seguridad. Cuando Dependabot detecta vulnerabilidades en las dependencias, debes evaluar el nivel de exposición del proyecto y determinar qué medidas de corrección se deben tomar para proteger la aplicación.

Si hay disponible una versión revisada de la dependencia, puedes generar una solicitud de incorporación de cambios de Dependabot para actualizar esta dependencia directamente desde una alerta de Dependabot. Si tienes habilitadas las Dependabot security updates, la solicitud de incorporación de cambios podría estar vinculada en la alerta de Dependabot.

En los casos en los que una versión revisada no está disponible o no se puede actualizar a la versión segura, Dependabot comparte información adicional para ayudarte a determinar los pasos siguientes. Al hacer clic en para ver una alerta de Dependabot, puedes ver los detalles completos del aviso de seguridad para la dependencia, incluidas las funciones afectadas. Después, puedes comprobar si el código llama a las funciones afectadas. Esta información puede ayudarte a evaluar aún más el nivel de riesgo y determinar las soluciones alternativas o si puedes aceptar el riesgo que representa la asesoría de seguridad.

Corrección de dependencias vulnerables

  1. Consulta los detalles de una alerta. Para obtener más información, consulta "Visualización de Dependabot alerts" (más arriba).

  2. Si tienesDependabot security updates habilitado, puede haber un vínculo a una solicitud de incorporación de cambios que corregirá la dependencia. Como alternativa, puedes hacer clic en Crear actualización de seguridad de Dependabot en la parte superior de la página de detalles de la alerta para crear una solicitud de incorporación de cambios.

    Captura de pantalla de una alerta de Dependabot con el botón "Crear actualización de seguridad de Dependabot" resaltado con un contorno naranja oscuro.

  3. Opcionalmente, si no usas Dependabot security updates, puedes usar la información de la página para decidir a qué versión de la dependencia actualizar y crear una solicitud de incorporación de cambios para actualizar la dependencia a una versión segura.

  4. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

    Cada solicitud de incorporación de cambios que envía Dependabot incluye información sobre los comandos que puedes usar para controlar Dependabot. Para obtener más información, vea «Administrar las solicitudes de extracción para las actualizaciones de dependencia».

Descarte de Dependabot alerts

Sugerencia: Solo puedes descartar alertas abiertas.

Si programas un trabajo extenso para actualizar una dependencia o decides que no es necesario corregir una alerta, puedes descartar la alerta. Descartar las alertas que ya has evaluado facilita la evaluación de nuevas alertas a medida que aparecen.

  1. Consulta los detalles de una alerta. Para obtener más información, consulta "Visualización de dependencias vulnerables" (arriba).

  2. Selecciona la lista desplegable "Descartar" y haz clic en un motivo para descartar la alerta.

    Captura de pantalla de la página de una alerta de Dependabot, con la lista desplegable "Descartar" y sus opciones resaltadas con un contorno naranja oscuro.

Revisión de los registros de auditoría de Dependabot alerts

Cuando un miembro de la organización o empresa realiza una acción relacionada con Dependabot alerts, puedes revisar las acciones en el registro de auditoría. Para obtener más información sobre el acceso al registro, consulte "Revisar el registro de auditoría de tu organización" y "Acceso al registro de auditoría de la empresa"

Los eventos del registro de auditoría de Dependabot alerts incluyen detalles como quién realizó la acción, cuál fue la acción y cuándo se realizó la acción. Para obtener información sobre las acciones Dependabot alerts, consulte la categoría repository_vulnerability_alert en "Revisar el registro de auditoría de tu organización" y "Eventos de registro de auditoría de la empresa"