Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Habilitar al Dependabot en tu empresa

Puedes permitir que los usuarios de tu instancia de GitHub Enterprise Server encuentren y corrijan las vulnerabilidades de las dependencias de código si habilitas las Las alertas del dependabot y las Actualizaciones del dependabot.

Enterprise owners can enable Dependabot.

Acerca del Dependabot para GitHub Enterprise Server

El Dependabot ayuda a que los usuarios de tu instancia de GitHub Enterprise Server encuentren y corrijan vulnerabilidades en sus dependencias. Puedes habilitar las Las alertas del dependabot para notificar a los usuarios sobre dependencias vulnerables y Actualizaciones del dependabot para corregir las vulnerabilidades y mantener actualziadas las dependencias a su última versión.

Acerca de Las alertas del dependabot

With Las alertas del dependabot, GitHub identifies insecure dependencies in repositories and creates alerts on tu instancia de GitHub Enterprise Server, using data from the GitHub Advisory Database and the dependency graph service.

Agregamos asesorías a la GitHub Advisory Database desde las siguientes fuentes:

Después de que habilitas las Las alertas del dependabot para tu empresa, los datos de las vulnerabilidades se sincronizan desde la GitHub Advisory Database con tu instancia una vez por hora. Únicamente se sincronizan las asesorías que revisa GitHub. For more information about advisory data, see "Browsing security advisories in the GitHub Advisory Database" in the GitHub.com documentation.

También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para obtener más información, consulta la sección "Ver los datos de vulnerabilidad de tu empresa".

Nota: cuando habilitas las Las alertas del dependabot, no se carga código ni información sobre este desde tu instancia de GitHub Enterprise Server hacia GitHub.com.

Cuando tu instancia de GitHub Enterprise Server recibe la información sobre una vulnerabilidad, identifica los repositorios de tu instancia de GitHub Enterprise Server que utilizan la versión afectada de la dependencia y genera Las alertas del dependabot. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Las alertas del dependabot nuevas o no.

Para los repositorios que cuenten con las Las alertas del dependabot habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Adicionalmente, cuando se agrega un registro de vulnerabilidad nuevo a tu instancia de GitHub Enterprise Server, GitHub Enterprise Server escanea todos los repositorios existentes en tu instancia de GitHub Enterprise Server y genera alertas para cualquier repositorio que esté vulnerable. Para obtener más información, consulta la sección "Acerca deLas alertas del dependabot".

Acerca de Actualizaciones del dependabot

Después de que habilitas las Las alertas del dependabot, puedes elegir habilitar las Actualizaciones del dependabot. Cuando se habilitan las Actualizaciones del dependabot de tu instancia de GitHub Enterprise Server, los usuarios pueden configurar los repositorios para que sus dependencias se actualicen y mantengan seguras automáticamente.

Nota: Las Actualizaciones del dependabot en GitHub Enterprise Server requieren utilizar GitHub Actions con ejecutores auto-hospedados.

Predeterminadamente, los ejecutores de GitHub Actions que utiliza el Dependabot necesitan acceso al internet para descargar paquetes actualizados desde administradores de paquetes ascendentes. Para las Actualizaciones del dependabot impulsadas por GitHub Connect, el acceso a internet proporciona tus ejecutores con un token que permite el acceso a las dependencias y asesorías hospedadas en GitHub.com.

Con las Actualizaciones del dependabot, GitHub crea solicitudes de cambio automáticamente para actualizar las dependencias de dos formas.

  • Actualizaciones de versión del dependabot: Los usuarios agregan un archivo de configuración del Dependabot al repositorio para habilitar el Dependabot para que cree solicitudes de cambios cuando se lance una versión nueva de una dependencia rastreada. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de versión del dependabot".
  • Actualizaciones de seguridad del dependabot: Los usuarios pueden alternar un ajuste de repositorio para habilitar que el Dependabot cree solicitudes de cambios cuando GitHub detecta una vulnerabilidad en una de las dependencias de la gráfica de dependencias del repositorio. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot" y "Acerca de las Actualizaciones de seguridad del dependabot".

Habilitar Las alertas del dependabot

Antes de que puedas habilitar las Las alertas del dependabot:

  1. En la esquina superior derecha de GitHub Enterprise Server, da clic en tu foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil en GitHub Enterprise Server

  2. En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect. La pestaña de GitHub Connect en la barra lateral de la cuenta empresarial

  3. Debajo de "Dependabot", a la derecha de "Los usuarios pueden recibir alertas de vulnerabilidades para las dependencias de código libre", selecciona el menú desplegable y haz clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haz clic en Habilitado con notificaciones.

    Captura de pantalla del menú desplegable para habilitar el escaneo de repositorios en busca de vulnerabilidades

    Tip: Te recomendamos configurar las Las alertas del dependabot sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de algunos días, puedes habilitar las notificaciones para recibir las Las alertas del dependabot como de costumbre.

Habilitar Actualizaciones del dependabot

Después de que habilitas las Las alertas del dependabot para tu empresa, puedes habilitar las Actualizaciones del dependabot.

Antes de habilitar las Actualizaciones del dependabot, debes configurar tu instancia de GitHub Enterprise Server para utilizar las GitHub Actions con los ejecutores auto-hospedados. Para obtener más información, consulta la sección "Iniciar con las GitHub Actions para GitHub Enterprise Server".

Las Actualizaciones del dependabot no son compatibles con GitHub Enterprise Server si tu empresa utiliza clústering.

  1. Ingresa en tu instancia de GitHub Enterprise Server a través de http(s)://HOSTNAME/login.

  2. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  3. Si aún no estás en la página de "Administrador de sitio", en la esquina inferior izquierda, haz clic en Administrador de sitio.

    Captura de pantalla del enlace de "Administrador de sitio"

  4. En la barra lateral izquierda, haz clic en Consola de administración. pestaña Consola de administración en la barra lateral izquierda

  5. En la barra lateral izquierda, haz clic en Seguridad. Security sidebar

  6. Debajo de "Seguridad", selecciona Actualizaciones de seguridad del dependabot.

    Captura de pantalla de la casilla de verificación para habilitar o inhabilitar las Actualizaciones de seguridad del dependabot

  7. Debajo de la barra lateral izquierda, da clic en Guardar configuración.

    Captura de pantalla del botón para guardar los ajustes en la Consola de administración

    Nota: El guardar los ajustes en la Consola de administración restablece los servicios de sistema, lo cual podría dar como resultado un tiempo de inactividad visible.

  8. Espera a que la configuración se ejecute por completo.

    Configurar tu instancia

  9. Da clic en Visitar tu instancia.

  10. Configura los ejecutores auto-hospedados para crear las solicitudes de cambio que actualizarán las dependencias. Para obtener más información, consulta la sección "Administrar los ejecutores auto-hospedados para las Actualizaciones del dependabot en tu empresa".

  11. En la esquina superior derecha de GitHub Enterprise Server, da clic en tu foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil en GitHub Enterprise Server

  12. En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect. La pestaña de GitHub Connect en la barra lateral de la cuenta empresarial

  13. Debajo de "Dependabot", a la derecha de "Los usuarios pueden mejorar fácilmente a dependencias de código abierto no vulnerables", haz clic en Habilitar.

    Captura de pantalla del menú desplegable para habilitar la actualización de las dependencias vulnerables

Cuando habilitas las Las alertas del dependabot, deberías considerar también configurar las GitHub Actions para Actualizaciones de seguridad del dependabot. Esta característica permite que los desarrolladores arreglen las vulnerabilidades en sus dependencias. Para obtener más información, consulta la sección "Administrar los ejecutores auto-hospedados para las Actualizaciones del dependabot en tu empresa".

Si necesitas una seguridad mejorada, te recomendamos configurar al Dependabot para utilizar los registros privados. Para obtener más información, consulta la sección "Administrar los secretos cifrados para el Dependabot".