Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".
La pestaña de Las alertas del dependabot de tu repositorio lista todas lasLas alertas del dependabot abiertas y cerradas, así como las Actualizaciones de seguridad del dependabot correspondientes. Puedes filtrar las alertas por paquete, ecosistema o manifiesto. Puedes ordenar la lista de alertas y hacer clic en aquellas específicas para ver más detalles. También puedes descartar o volver a abrir las alertas. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".
Puedes habilitar las alertas de seguridad automáticas para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".
Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio
GitHub Enterprise Server genera Las alertas del dependabot cuando detectamos que tu base de còdigo està utilizando dependencias con riesgos de seguridad conocidos. Para los repositorios en donde se habilitan las Actualizaciones de seguridad del dependabot cuando GitHub Enterprise Server detecta una dependencia vulnerable en la rama predeterminada, Dependabot crea una solicitud de cambios para arreglarla. La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.
Puedes ordenar y filtrar las Las alertas del dependabot con los menús desplegables en la pestaña de Las alertas del dependabot o escribiendo filtros como pares de key:value en la barra de búsqueda. Los filtros disonibles son repositorio (por ejemplo, repo:my-repository), paquete (por ejemplo, package:django), ecosistema (por ejemplo, ecosystem:npm), manifiesto (por ejemplo, manifest:webwolf/pom.xml), estado (por ejemplo, is:open) y ya sea si una asesorìa tiene un parche o no (por ejemplo, has: patch).
Cada alerta del Dependabot tiene un identificador numérico único y la pestaña de Las alertas del dependabot lista una alerta por cada vulnerabilidad detectada. Las Las alertas del dependabot tradicionales agrupan vulnerabilidades por dependencia y generan una sola alerta por dependencia. Si navegas a una alerta tradicional del Dependabot, se te redirigirá a una pestaña de Las alertas del dependabot filtradas para este paquete.
Ver las Las alertas del dependabot
- En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
- Debajo de tu nombre de repositorio, da clic en Seguridad.
- En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".
- Opcionalmente, para filtrar alertas, selecciona el menú desplegable de Repositorio, l Paquete, Ecosistema o Manifiesto y luego haz clic en el filtro que te gustaría aplicar. También puedes teclear filtros en la barra de búsqueda. Por ejemplo,
ecosystem:npmohas:patch. Para ordenar las alertas, selecciona el menú desplegable de Ordenar y luego haz clic en la opción por la cual te gustaría ordenarlas o escribesort:en la barra de búsqueda y elige una opción de entre las sugerencias (por ejemplo,sort:newest).
También puedes hacer clic en una etiqueta de una alerta para que solo muestre las alertas de ese tipo.
- Haz clic en la alerta que te gustaría ver.
Revisar y corregir las alertas
Es importante garantizar que todas tus dependencias estén libres de cualquier debilidad de seguridad. Cuando el Dependabot descubre vulnerabilidades en tus dependencias, deberías evaluar el nivel de exposición de tu proyecto y determinar qué pasos de remediación tomar para asegurar tu aplicación.
Si una versión parchada de la dependencia está disponible, peudes generar una solicitud de cambios del Dependabot para actualizar esta dependencia directamente desde una alerta del Dependabot. Si tienes habilitadas las Actualizaciones de seguridad del dependabot, la solicitud de cambios podría estar vinculada en la alerta del Dependabot.
En los casos en donde no está disponible una versión parchada o en donde no puedes actualizar a la versión segura, el Dependabot comparte información adicional para ayudarte a determinar los siguientes pasos. Cuando haces clilc para ver una alerta del Dependabot, puedes ver todos los detalles de la asesoría de seguridad para la dependencia, incluyendo las funciones afectadas. Entonces, pudes verificar si tu código llama a dichas funciones impactadas. Esta información puede ayudarte a valorar más profundamente tu nivel de riesgo y determinar las soluciones alternas o a saber si tienes que aceptar el riesgo que representa la asesoría de seguridad.
Fijar las dependencias vulnerables
-
Ver los detalles de una alerta. Para obtener más información, consulta la sección "Ver las Las alertas del dependabot" (anteriormente).
-
Si tienes habilitadas las Actualizaciones de seguridad del dependabot, podrìa haber un enlace a una solicitud de cambios que corrija la dependencia. Como alternativa, puedes hacer clic en Crear actualización de seguridad del Dependabot en la parte superior de la página de detalles de la alerta para crear una solicitud de cambios.
-
Opcionalmente, si no utilizas las Actualizaciones de seguridad del dependabot, puedes utilizar la información en la página para decidir a qué versión de la dependencia actualizar y crear una solicitud de cambios para actualizar la dependencia a una versión segura.
-
Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.
Cada solicitud de extracción que levante el Dependabot incluye información sobre los comandos que puedes utilizar para controlar el Dependabot. Para obtener más información, consulta la sección "Adminsitrar las solicitudes de extracción para las actualizaciones de las dependencias".
Descartar las Las alertas del dependabot
Tip: Solo puedes descartar las alertas abiertas.
Si programas mucho trabajo para actualizar una dependencias o decides que una alerta no necesita corregirse, puedes descartar la alerta. El descartar alertas que ya valoraste facilita clasificar las nuevas que aparecen.
- Ver los detalles de una alerta. Para obtener más información, consulta la sección "Ver las dependencias vulnerables" (anteriormente).
- Selecciona el menú desplegable de "Descartar" y haz clic en una razón para descartar la alerta. Las alertas descartadas sin fijar pueden volverse a abrir posteriormente.
Ver y actualziar las alertas cerradas
Tip: Solo puedes volver a abrir alertas que se hayan descartado previamente. Las alertas cerradas que ya se hayan corregido no se pueden volver a abrir.
- En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
- Debajo de tu nombre de repositorio, da clic en Seguridad.
- En la barra lateral de seguridad, da clic en Las alertas del dependabot. Si no encuentras esta opción, significa que no tienes acceso a las alertas de seguridad y necesitas que te lo otorguen. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu repositorio".
- Para solo ver las alertas cerradas, haz clic en Cerrada.
- Haz clic en la alerta que te gustaría ver o actualizar.
- Opcionalmente, si se descartó la alerta y quieres volver a abrirla, haz clic en Reabrir. Las alertas que ya se hayan corregido no pueden volverse a abrir.
