Nota: Tu administrador de sitio debe configurar las Actualizaciones del dependabot para tu instancia de GitHub Enterprise Server antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".
Acerca de la configuración de las Actualizaciones de seguridad del dependabot
Puedes habilitar las Actualizaciones de seguridad del dependabot para cualquier repositorio que utilice Las alertas del dependabot y la gráfica de dependencias. Para obtener más información, consulta la sección "Acerca de las Actualizaciones de seguridad del dependabot".
You can disable Actualizaciones de seguridad del dependabot for an individual repository or for all repositories owned by your personal account or organization. Para obtener más información, consulta la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios" acontinuación.
Repositorios soportados
GitHub habilita las Actualizaciones de seguridad del dependabot automáticamente para cada repositorio que cumpla con estos pre-requisitos.
Nota: Puedes habilitar manualmente las Actualizaciones de seguridad del dependabot, aún si el repositorio no cumple con alguno de los siguientes prerrequisitos. Por ejemplo, puedes habilitar las Actualizaciones de seguridad del dependabot en una bifurcación, o para un administrador de paquetes que no sea directamente compatible si sigues las instrucciones en la sección "Administrar las Actualizaciones de seguridad del dependabot para tus repositorios".
Pre-requisito de habilitación automática | Más información |
---|---|
Que el repositorio no sea una bifrucación | "Acerca de las bifurcaciones" |
Que el repositorio no esté archivado | "Archivar repositorios" |
Que el repositorio contenga un archivo de manifiesto de dependencias de un ecosistema de paquete que sea compatible con GitHub | "Ecosistemas de paquete compatibles" |
Las Actualizaciones de seguridad del dependabot no se han inhabilitado para el repositorio | "Administrar las Actualizaciones de seguridad del dependabot para tu repositorio" |
Si no se habilitan las actualizaciones de seguridad para tu repositorio y no sabes por qué, intenta primero habilitarles de acuerdo con las instrucciones que se encuentran en los procedimientos siguientes. Si las actualizaciones de seguridad aún no funcionan, puedes contactar al tu administrador de sitio.
Administrar las Actualizaciones de seguridad del dependabot para tus repositorios
Puedes habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual (ver a continuación).
You can also enable or disable Actualizaciones de seguridad del dependabot for all repositories owned by your personal account or organization. Para obtener más información, consulta la sección "Administrar los ajustes de seguridad y análisis de tu cuenta personal" o "Administrar los ajustes de seguridad y análisis para tu organización".
Las Actualizaciones de seguridad del dependabot requieren de configuraciones de repositorio específicas. Para obtener más información, consulta "Repositorios soportados".
Habilitar o inhabilitar las Actualizaciones de seguridad del dependabot para un repositorio individual.
-
En tu instancia de GitHub Enterprise Server, visita la página principal del repositorio.
-
Debajo de tu nombre de repositorio, da clic en Configuración.
-
En la sección de "Seguridad" de la barra lateral, haz clic en Análisis y seguridad de código.
-
Under "Code security and analysis", to the right of "Dependabot security updates", click Enable to enable the feature or Disable to disable it.
Overriding the default behavior with a configuration file
You can override the default behavior of Actualizaciones de seguridad del dependabot by adding a dependabot.yml file to your repository. Para obtener más información, consulta la sección "Opciones de configuración para el archivo dependabot.yml".
If you only require security updates and want to exclude version updates, you can set open-pull-request-limit
to 0
in order to prevent version updates for a given package-ecosystem
. For more information, see "open-pull-request-limit
."
# Example configuration file that:
# - Ignores lodash dependency
# - Disables version-updates
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
ignore:
- dependency-name: "lodash"
# For Lodash, ignore all updates
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
For more information about the configuration options available for security updates, see the table in "Configuration options for the dependabot.yml file."