Skip to main content

Habilitación de Dependabot para la empresa

Puedes permitir que los usuarios de your GitHub Enterprise Server instance busquen y corrijan vulnerabilidades en sus dependencias de código mediante la habilitación de Dependabot alerts y Dependabot updates.

Who can use this feature

Enterprise owners can enable Dependabot.

Acerca de Dependabot para GitHub Enterprise Server

Dependabot ayuda a que los usuarios de your GitHub Enterprise Server instance busquen y corrijan vulnerabilidades en sus dependencias. Puede habilitar Dependabot alerts para notificar a los usuarios las dependencias vulnerables y Dependabot updates para corregir las vulnerabilidades y mantener actualizadas las dependencias a la versión más reciente.

Acerca de Dependabot alerts

Con Dependabot alerts, GitHub identifica las dependencias no seguras en los repositorios y crea alertas sobre your GitHub Enterprise Server instance mediante el uso de datos de GitHub Advisory Database y el servicio de gráfico de dependencias.

Agregamos asesorías a la GitHub Advisory Database desde los siguientes orígenes:

Después de habilitar Dependabot alerts para la empresa, los datos de vulnerabilidad se sincronizan desde GitHub Advisory Database con la instancia una vez cada hora. Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información, consulta "Exploración de avisos de seguridad en GitHub Advisory Database".

También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para más información, vea "Visualización de los datos de vulnerabilidad de la empresa".

Nota: Al habilitar Dependabot alerts, no se carga ningún código ni información sobre el código de your GitHub Enterprise Server instance en GitHub.com.

Cuando your GitHub Enterprise Server instance recibe información sobre una vulnerabilidad, identifica los repositorios de your GitHub Enterprise Server instance en los que se usa la versión afectada de la dependencia y genera Dependabot alerts. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Dependabot alerts nuevas o no.

Para los repositorios que cuenten con las Dependabot alerts habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Además, cuando se agrega un nuevo registro de vulnerabilidad a your GitHub Enterprise Server instance, GitHub Enterprise Server examina todos los repositorios existentes en your GitHub Enterprise Server instance y genera alertas para cualquier repositorio vulnerable. Para más información, vea "Acerca de Dependabot alerts".

Acerca de Dependabot updates

Después de habilitar Dependabot alerts, puede habilitar Dependabot updates. Cuando se habilitan Dependabot updates para your GitHub Enterprise Server instance, los usuarios pueden configurar los repositorios para que sus dependencias se actualicen y se mantengan seguras de forma automática.

Nota: Dependabot updates en GitHub Enterprise Server necesita GitHub Actions con ejecutores autohospedados.

De forma predeterminada, los ejecutores de GitHub Actions que usa Dependabot necesitan acceso a Internet para descargar paquetes actualizados de administradores de paquetes ascendentes. Para Dependabot updates con tecnología de GitHub Connect, el acceso a Internet proporciona a los ejecutores un token que permite el acceso a dependencias y avisos hospedados en GitHub.com.

Con Dependabot updates, GitHub crea automáticamente solicitudes de incorporación de cambios para actualizar las dependencias de dos maneras.

  • Dependabot version updates : los usuarios agregan un archivo de configuración de Dependabot al repositorio a fin de habilitar Dependabot para crear solicitudes de incorporación de cambios cuando se publique una versión nueva de una dependencia de la que se realiza el seguimiento. Para más información, vea "Acerca de Dependabot version updates".
  • Dependabot security updates : los usuarios pueden alternar un valor del repositorio a fin de habilitar Dependabot para crear solicitudes de incorporación de cambios cuando GitHub detecte una vulnerabilidad en una de las dependencias del gráfico de dependencias del repositorio. Para más información, vea "Acerca de Dependabot alerts" y "Acerca de Dependabot security updates".

Habilitación de Dependabot alerts

Antes de poder habilitar Dependabot alerts:

  1. En la esquina superior derecha de GitHub Enterprise Server, haga clic en la foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil de GitHub Enterprise Server 1. En la barra lateral de la cuenta empresarial, haga clic en GitHub Connect . Pestaña GitHub Connect en la barra lateral de la cuenta empresarial

  2. En "Dependabot", a la derecha de "Los usuarios pueden recibir alertas de vulnerabilidad para dependencias de código abierto", seleccione el menú desplegable y haga clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haga clic en Habilitado con notificaciones.

    Captura de pantalla del menú desplegable a fin de habilitar el examen de repositorios para detectar vulnerabilidades

    Sugerencia: Le recomendamos configurar Dependabot alerts sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de varios días, puede habilitar las notificaciones para recibir Dependabot alerts de la forma habitual.

Habilitación de Dependabot updates

Después de habilitar Dependabot alerts para la empresa, puede habilitar Dependabot updates.

Antes de habilitar Dependabot updates, debe configurar your GitHub Enterprise Server instance para usar GitHub Actions con ejecutores autohospedados. Para más información, vea "Introducción a GitHub Actions para GitHub Enterprise Server".

Dependabot updates no se admiten en los datos GitHub Enterprise Server si en la empresa se usa la agrupación en clústeres.

  1. Inicie sesión en your GitHub Enterprise Server instance en http(s)://HOSTNAME/login. 1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

    Captura de pantalla del vínculo "Administrador del sitio" 1. En la barra lateral de la izquierda, haga clic en Consola de administración . Pestaña Consola de administración en la barra lateral de la izquierda 1. En la barra lateral izquierda, haga clic en Security (Seguridad). Barra lateral de seguridad

  3. En "Seguridad", seleccione Dependabot security updates .

    Captura de pantalla de la casilla para habilitar o deshabilitar Dependabot security updates

  4. En la barra lateral de la izquierda, haga clic en Guardar configuración.

    Captura de pantalla del botón para guardar los ajustes en la Consola de administración

    Nota: Al guardar la configuración en la Consola de administración se restablecen los servicios de sistema, lo que podría generar un tiempo de inactividad visible para el usuario.

  5. Espera que se complete la fase de configuración.

    Configurar tu instancia

  6. Haga clic en Visitar la instancia.

  7. Configure ejecutores autohospedados para crear las solicitudes de incorporación de cambios que actualizarán las dependencias. Para más información, vea "Administración de ejecutores autohospedados para Dependabot updates en la empresa".

  8. En la esquina superior derecha de GitHub Enterprise Server, haga clic en la foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil de GitHub Enterprise Server 1. En la barra lateral de la cuenta empresarial, haga clic en GitHub Connect . Pestaña GitHub Connect en la barra lateral de la cuenta empresarial

  9. En "Dependabot", a la derecha de "Los usuarios pueden actualizar fácilmente a dependencias de código abierto no vulnerables", haga clic en Habilitar.

    Captura de pantalla del menú desplegable para habilitar la actualización de dependencias vulnerables

Cuando habilitas las Dependabot alerts, deberías considerar también configurar las GitHub Actions para Dependabot security updates. Esta característica permite que los desarrolladores arreglen las vulnerabilidades en sus dependencias. Para más información, vea "Administración de ejecutores autohospedados para Dependabot updates en la empresa".

Si necesitas una seguridad mejorada, te recomendamos que configures Dependabot para usar registros privados. Para obtener más información, consulta "Administración de secretos cifrados para Dependabot".