Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Acerca de las actualizaciones de seguridad del Dependabot

Dependabot puede arreglar tus dependencias vulnerables levantando solicitudes de extracción con actualizaciones de seguridad.

Nota: La seguridad del Dependabot y las actualizaciones de versión actualmente se encuentran en beta público y están sujetas a cambios.

Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

Acerca de Actualizaciones de seguridad del dependabot

Las Actualizaciones de seguridad del dependabot te facilitan el arreglar las dependencias vulnerables en tu repositorio. Si habilitas esta característica, cuando se levante una alerta del Dependabot para una dependencia vulnerable en la gráfica de dependencias de tu repositorio, Dependabot intentará arreglarla automáticamente. Para obtener más información, consulta las secciones "Acerca de las Las alertas del dependabot" y "Configurar las Actualizaciones de seguridad del dependabot".

GitHub podría enviar Las alertas del dependabot a los repositorios que se vieron afectados por la vulnerabilidad que se divulgó en una asesoría de seguridad de GitHub publicada recientemente. For more information about advisory data, see "Browsing security advisories in the GitHub Advisory Database" in the GitHub.com documentation.

Dependabot verifica si es posible actualizar la dependencia vulnerable a una versión arreglada sin irrumpir en la gráfica de dependencias para el repositorio. Posteriormente, el Dependabot levanta una solicitud de cambios para actualizar la dependencia a la versión mínima que incluye el parche y los enlaces a la solicitud de cambios para la alerta del Dependabot, o reporta un error en la alerta. Para obtener más información, consulta la sección "Solucionar problemas para los errores del Dependabot".

Nota

La característica de Actualizaciones de seguridad del dependabot se encuentra disponible para los repositorios en donde hayas habilitado la gráfica de dependencias y las Las alertas del dependabot. Verás una alerta del Dependabot por cada dependencia vulnerable que se haya identificado en toda tu gráfica de dependencias. Sin embargo, las actualizaciones de seguridad se activan únicamente para las dependencias que se especifican en un archivo de manifiesto o de bloqueo. El Dependabot no puede actualizar una dependencia indirecta o transitoria si no se define explícitamente. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Puedes habilitar una característica relacionada, Actualizaciones de versión del dependabot, para que el Dependabot levante solicitudes de cambio para actualizar el manifiesto a la última versión de la dependencia cuando detecte una que esté desactualizada. Para obtener más información, consulta la sección "Acerca de las actualizaciones de versión del Dependabot".

Cuando el Dependabot levanta solicitudes de cambio, estas podrían ser para actualizaciones de seguridad o de versión:

  • Las Actualizaciones de seguridad del dependabot son solicitudes de cambios automatizadas que te ayudan a actualizar las dependencias con vulnerabilidades conocidas.
  • Las Actualizaciones de versión del dependabot son solicitudes de cambios automatizadas que mantienen tus dependencias actualizadas, incluso cuando no tienen vulnerabilidades. Para verificar el estado de las actualizaciones de versión, navega a la pestaña de perspectivas de tu repositorio, luego a la gráfica de dependencias, y luego al Dependabot.

Acerca de las solicitudes de cambios para las actualizaciones de seguridad

Cada solicitud de cambios contiene todo lo que necesitas para revisar y fusionar de forma rápida y segura un arreglo propuesto en tu proyecto. Esto incluye la información acerca de la vulnerabilidad, como las notas de lanzamiento, las entradas de bitácora de cambios, y los detalles de confirmación. Los detalles de qué vulnerabilidad resuelve una solicitud de cambios se encuentran ocultos para cualquiera que no tenga acceso a las Las alertas del dependabot del repositorio en cuestión.

Cuando fusionas una solicitud de cambios que contiene una actualización de seguridad, la alerta correspondiente del Dependabot se marca como resuelta en el repositorio. Para obtener más información acerca de las solicitudes de cambios del Dependabot, consulta la sección "Administrar las solicitudes de cambios para las actualizaciones de las dependencias".

Nota: El tener pruebas automatizadas y procesos de aceptación establecidos para que las verificaciones se lleven a cabo antes de que se fusione la solicitud de extracción se considera como una buena práctica. Esto es particularmente importante si la versión que se sugiere mejorar contiene funcionalidades adicionales o un cambio que infrinja el código de tu proyecto. Para obtener más información acerca de la integración contínua, consulta la sección "Acerca de la Integración Contínua".

Acerca de las notificaciones para las actualizaciones de seguridad del Dependabot

Puedes filtrar tus notificaciones en GitHub para mostrar las actualizaciones de seguridad del Dependabot. Para obtener más información, consulta la sección "Administrar notificación desde tu bandeja de entrada".