Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
All products
Seguridad de código

Acerca de la revisión de dependencias

En este artículo

La revisión de dependencias te permite detectar las dependencias no seguras antes de que las introduzcas en tu entorno y te proporciona información sobre la licencia, los elementos dependientes y la antigüedad de las dependencias.

La revisión de dependencias está disponible para los repositorios que pertenecen a organizaciones en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Si una solicitud de cambios apunta a la rama predeterminada de tu repositorio y contiene cambios a los archivos de bloqueo o de manifiesto empaquetados, puedes mostrar una revisión de dependencias para ver qué ha cambiado. La revisión de dependencias incluye detalles de los cambios a las dependencias indirectas en los archivos de bloqueo, y te dice si cualquiera de las dependencias que se agregaron o actualizaron contienen vulnerabilidades conocidas.

Algunas veces puede que solo quieras actualizar la versión de una dependencia en un manifiesto y generar una solicitud de cambios. Sin embargo, si la versión actualizada de esta dependencia directa también tiene dependencias actualizadas, tu solicitud de cambios podría tener más cambios de lo que esperas. La revisión de dependencias para cada archivo de bloqueo y de manifiesto proporciona un aforma sencilla para ver lo que ha cambiado y te deja saber si cualquiera de las versiones nuevas de las dependencias contienen vulnerabilidades conocidas.

Cuando verificas las revisiones de dependencias en una solicitud de cambios y cambias cualquier dependencia que se marque como vulnerable, puedes evitar que las vulnerabilidades se agreguen a tu proyecto. Para obtener más información sobre el funcionamiento de la revisión de dependencias, consulta "Revisar los cambios de las dependencias en una solicitud de cambios".

Para obtener más información sobre la configuración de la revisión de dependencias, consulta "Configuración de la revisión de dependencias".

Las Dependabot alerts encontrarán vulnerabilidades que ya se encuentran en tus dependencias, pero es mucho mejor evitar introducir problemas potenciales que arreglarlos posteriormente. Para obtener más información sobre Dependabot alerts, consulta "Acerca de las alertas Dependabot".

La revisión de dependencias es compatible con los mismos lenguajes de programación y ecosistemas de administración de paquetes que la gráfica de dependencias. Para obtener más información, vea «Acerca del gráfico de dependencias».

Para obtener más información sobre las características de la cadena de suministro disponibles en GitHub Enterprise Server, consulta "Acerca de la seguridad de la cadena de suministro".

Habilitar la revisión de dependencias

La característica de revisión de dependencias se encuentra disponible cuando habilitas la gráfica de dependencias. Para obtener más información, consulte "Habilitación del gráfico de dependencias para la empresa".

Aplicación de la revisión de dependencias

La acción está disponible para todos los repositorios que tienen habilitado GitHub Advanced Security.

Los propietarios de la empresa y los usuarios con acceso de administrador a un repositorio pueden agregar Acción de revisión de dependencias a su empresa y repositorio, respectivamente.

Puedes usar Acción de revisión de dependencias en el repositorio para aplicar revisiones de dependencias en las solicitudes de incorporación de cambios. La acción analiza las versiones vulnerables de las dependencias introducidas por los cambios de versión del paquete en las solicitudes de incorporación de cambios y le advierte sobre las vulnerabilidades de seguridad asociadas. Esto proporciona una mejor visibilidad de los cambios en una solicitud de incorporación de cambios y ayuda a evitar que se agreguen vulnerabilidades al repositorio. Para más información, vea dependency-review-action.

Captura de pantalla de una ejecución de flujo de trabajo que usa la acción Revisión de dependencias.

De forma predeterminada, se producirá un error en la comprobación de Acción de revisión de dependencias si detecta paquetes vulnerables. Una comprobación con errores impide combinar una solicitud de incorporación de cambios si el propietario del repositorio requiere que se supere la comprobación de revisión de dependencias. Para obtener más información, vea «Acerca de las ramas protegidas».

La acción usa la API de REST Dependency Review para obtener la diferencia de los cambios de dependencia entre la confirmación base y la confirmación principal. Puede usar la API Dependency Review para obtener la diferencia de los cambios de dependencia, incluidos los datos de vulnerabilidad, entre dos confirmaciones de un repositorio. Para obtener más información, vea «Gráfica de dependencias».

Puedes configurar la Acción de revisión de dependencias para que se adapte mejor a tus necesidades. Por ejemplo, puedes especificar el nivel de gravedad que hará que se produzca un error en la acción. Para obtener más información, vea «Configuración de la revisión de dependencias».