Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
Enterprise Server 3.5
Español
 
Code security
Enterprise Server 3.5
Español

 

Viewing and updating Dependabot alerts

En este artículo

If GitHub Enterprise Server discovers insecure dependencies in your project, you can view details on the Dependabot alerts tab of your repository. Then, you can update your project to resolve or dismiss the alert.

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

La pestaña de Las alertas del dependabot de tu repositorio lista todas lasLas alertas del dependabot abiertas y cerradas, así como las Actualizaciones de seguridad del dependabot correspondientes. Puedes filtrar las alertas por paquete, ecosistema o manifiesto. You can sort the list of alerts, and you can click into specific alerts for more details. You can also dismiss or reopen alerts. For more information, see "About Las alertas del dependabot."

Puedes habilitar las alertas de seguridad automáticas para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".

Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio

GitHub Enterprise Server generates Las alertas del dependabot when we detect that your codebase is using dependencies with known security risks. Para los repositorios en donde se habilitan las Actualizaciones de seguridad del dependabot cuando GitHub Enterprise Server detecta una dependencia vulnerable en la rama predeterminada, Dependabot crea una solicitud de cambios para arreglarla. La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.

Puedes clasificar y filtrar las Las alertas del dependabot con los menús desplegables en la pestaña de Las alertas del dependabot o tecleando filtros tales como pares de key:value en la barra de búsqueda. Los filtros disponibles son los de repositorio (pro ejemplo, repo:my-repository), paquete (por ejemplo, package:django), ecosistema (por ejemplo, ecosystem:npm), manifiesto (por ejemplo, manifest:webwolf/pom.xml), estado (por ejemplo, is:open) y si la asesoría tiene un parche (por ejemplo, has: patch).

Each Dependabot alert has a unique numeric identifier and the Las alertas del dependabot tab lists an alert for every detected vulnerability. Las Las alertas del dependabot tradicionales agrupan vulnerabilidades por dependencia y generan una sola alerta por dependencia. Si navegas a una alerta tradicional del Dependabot, se te redirigirá a una pestaña de Las alertas del dependabot filtradas para este paquete.

Viewing Las alertas del dependabot

  1. En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".Las alertas del dependabot tab
  4. Opcionalmente, para filtrar alertas, selecciona el menú desplegable de Repositorio, l Paquete, Ecosistema o Manifiesto y luego haz clic en el filtro que te gustaría aplicar. También puedes teclear filtros en la barra de búsqueda. Por ejemplo, ecosystem:npm o has:patch. To sort alerts, select the Sort dropdown menu then click the option that you would like to sort by. Screenshot of the filter and sort menus in the Las alertas del dependabot tab
  5. Click the alert that you would like to view. Alert selected in list of alerts

Reviewing and fixing alerts

It’s important to ensure that all of your dependencies are clean of any security weaknesses. When Dependabot discovers vulnerabilities in your dependencies, you should assess your project’s level of exposure and determine what remediation steps to take to secure your application.

If a patched version of the dependency is available, you can generate a Dependabot pull request to update this dependency directly from a Dependabot alert. If you have Actualizaciones de seguridad del dependabot enabled, the pull request may be linked will in the Dependabot alert.

In cases where a patched version is not available, or you can’t update to the secure version, Dependabot shares additional information to help you determine next steps. When you click through to view a Dependabot alert, you can see the full details of the security advisory for the dependency including the affected functions. You can then check whether your code calls the impacted functions. This information can help you further assess your risk level, and determine workarounds or if you’re able to accept the risk represented by the security advisory.

Fixing vulnerable dependencies

  1. Ver los detalles de una alerta. For more information, see "Viewing Las alertas del dependabot" (above).

  2. If you have Actualizaciones de seguridad del dependabot enabled, there may be a link to a pull request that will fix the dependency. Alternatively, you can click Create Dependabot security update at the top of the alert details page to create a pull request. Crea un botón de actualización de seguridad del Dependabot

  3. Optionally, if you do not use Actualizaciones de seguridad del dependabot, you can use the information on the page to decide which version of the dependency to upgrade to and create a pull request to update the dependency to a secure version.

  4. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

    Each pull request raised by Dependabot includes information on commands you can use to control Dependabot. For more information, see "Managing pull requests for dependency updates."

Dismissing Las alertas del dependabot

Tip: You can only dismiss open alerts.

If you schedule extensive work to upgrade a dependency, or decide that an alert does not need to be fixed, you can dismiss the alert. Dismissing alerts that you have already assessed makes it easier to triage new alerts as they appear.

  1. Ver los detalles de una alerta. For more information, see "Viewing vulnerable dependencies" (above).
  2. Select the "Dismiss" dropdown, and click a reason for dismissing the alert. Unfixed dismissed alerts can be reopened later. Elegir una razón para descartar la alerta a través del menú desplegable de "Descartar"

Viewing and updating closed alerts

Tip: You can only reopen alerts that have been previously dismissed. Closed alerts that have already been fixed cannot be reopened.

  1. En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".Las alertas del dependabot tab
  4. To just view closed alerts, click Closed. Screenshot showing the "Closed" option
  5. Click the alert that you would like to view or update. Screenshot showing a highlighted dependabot alert
  6. Optionally, if the alert was dismissed and you wish to reopen it, click Reopen. Alerts that have already been fixed cannot be reopened. Screenshot showing the "Reopen" button