Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Configurar las actualizaciones de seguridad del Dependabot

Puedes utilizar las Actualizaciones de seguridad del dependabot o las solicitudes de extracción manuales para actualizar fácilmente las dependencias vulnerables.

Nota: La seguridad del Dependabot y las actualizaciones de versión actualmente se encuentran en beta público y están sujetas a cambios.

Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

Acerca de la configuración de las Actualizaciones de seguridad del dependabot

Puedes habilitar las Actualizaciones de seguridad del dependabot para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

You can disable Actualizaciones de seguridad del dependabot for an individual repository or for all repositories owned by your personal account or organization. Para obtener más información, consulta la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios" acontinuación.

Repositorios soportados

GitHub habilita las Actualizaciones de seguridad del dependabot automáticamente para cada repositorio que cumpla con estos pre-requisitos.

Nota: Puedes habilitar manualmente las Actualizaciones de seguridad del dependabot, aún si el repositorio no cumple con alguno de los siguientes prerrequisitos. Por ejemplo, puedes habilitar las Actualizaciones de seguridad del dependabot en una bifurcación, o para un administrador de paquetes que no sea directamente compatible si sigues las instrucciones en la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios".

Pre-requisito de habilitación automáticaMás información
Que el repositorio no sea una bifrucación"Acerca de las bifurcaciones"
Que el repositorio no esté archivado"Archivar repositorios"
Que el repositorio contenga un archivo de manifiesto de dependencias de un ecosistema de paquete que sea compatible con GitHub"Ecosistemas de paquete compatibles"
Las Actualizaciones de seguridad del dependabot no se han inhabilitado para el repositorio"Administrar las Actualizaciones de seguridad del dependabot para tu repositorio"

Si no se habilitan las actualizaciones de seguridad para tu repositorio y no sabes por qué, intenta primero habilitarles de acuerdo con las instrucciones que se encuentran en los procedimientos siguientes. Si las actualizaciones de seguridad aún no funcionan, puedes contactar al tu administrador de sitio.

Administrar las Actualizaciones de seguridad del dependabot para tus repositorios

Puedes habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual (ver a continuación).

You can also enable or disable Actualizaciones de seguridad del dependabot for all repositories owned by your personal account or organization. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu cuenta personal" o "Administrar los ajustes de seguridad y análisis para tu organización".

Las Actualizaciones de seguridad del dependabot requieren de configuraciones de repositorio específicas. Para obtener más información, consulta "Repositorios soportados".

Habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual.

  1. En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.

  2. Debajo de tu nombre de repositorio, da clic en Configuración. Botón de configuración del repositorio

  3. En la barra lateral izquierda, da clic en Seguridad & análisis. pestaña de "Seguridad & análisis" en la configuración de repositorio

  4. Under "Code security and analysis", to the right of "Dependabot security updates", click Enable to enable the feature or Disable to disable it. Screenshot of "Code security and analysis" section with button to enable Actualizaciones de seguridad del dependabot

Overriding the default behavior with a configuration file

You can override the default behavior of Actualizaciones de seguridad del dependabot by adding a dependabot.yml file to your repository. Para obtener más información, consulta la sección "Opciones de configuración para el archivo dependabot.yml".

If you only require security updates and want to exclude version updates, you can set open-pull-request-limit to 0 in order to prevent version updates for a given package-ecosystem. For more information, see "open-pull-request-limit."

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

For more information about the configuration options available for security updates, see the table in "Configuration options for the dependabot.yml file."

Leer más