Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Revisar los cambios de las dependencias en una solicitud de cambios

Si una solicitud de cambios contiene cambios a las dependencias, puedes ver un resumen de lo que ha cambiado y si es que existen vulnerabilidades conocidas en cualquiera de estas dependencias.

La revisión de dependencias está disponible para los repositorios que pertenecen a organizaciones en GitHub Enterprise Server. Esta característica requiere una licencia para la GitHub Advanced Security. Para más información, consulte "Acerca de GitHub Advanced Security".

Acerca de la revisión de dependencias

La revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña "Archivos cambiados" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:

  • Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento.
  • Cuántos proyectos utilizan estos componentes.
  • Datos de las vulnerabilidades para estas dependencias.

Antes de poder usar la revisión de dependencias, debes habilitar el gráfico de dependencias y conectar your GitHub Enterprise Server instance a GitHub.com. Para más información, vea "Habilitación de alertas para dependencias vulnerables en GitHub Enterprise Server".

La revisión de dependencias te permite "desplazarte a la izquierda". Puedes utilizar la información predictiva que se te proporciona para detectar dependencias vulnerables antes de que lleguen a tu ambiente productivo. Para más información, vea "Acerca de la revisión de dependencias".

Puedes usar dependency review action para ayudar a aplicar revisiones de dependencias en las solicitudes de incorporación de cambios del repositorio. La dependency review action examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.

Para obtener más información sobre la acción y el punto de conexión de API, consulta la documentación dependency-review-action y "Revisión de dependencias" en la documentación de la API.

Puedes configurar dependency review action para que se adapte mejor a tus necesidades especificando el tipo de vulnerabilidad de dependencias que quieres detectar. Para obtener más información, consulta "Configuración de la revisión de dependencias".

Revisar las dependencias en una solicitud de cambios

  1. En el nombre del repositorio, haga clic en Solicitudes de incorporación de cambios. Selección de la pestaña Solicitud de incorporación de cambios 1. En la lista de solicitudes de incorporación de cambios, haga clic en la que quiera revisar. 1. En la solicitud de incorporación de cambios, haz clic en Archivos cambiados. Pestaña de archivos modificados de la solicitud de incorporación de cambios

  2. Si la solicitud de incorporación de cambios contiene muchos archivos, use el menú desplegable Filtro de archivos para contraer todos los archivos que no registren dependencias. Esto facilitará que te enfoques en tu revisión de cambios a las dependencias.

    Menú Filtro de archivos La revisión de dependencias proporciona una vista más clara de lo que ha cambiado en los archivos de bloqueo grandes, donde la diferencia de origen no se representa de manera predeterminada.

    Nota: Las diferencias enriquecidas de revisión de dependencias no están disponibles para los archivos estáticos de JavaScript confirmados, como jquery.js.

  3. A la derecha del encabezado de un archivo de bloqueo o de manifiesto, haga clic en el botón de diferencias enriquecidas para mostrar la revisión de dependencias.

    El botón de diff rica

  4. Verifica las dependencias que se listan en la revisión de dependencias.

    Alertas de vulnerabilidades en una revisión de dependencias

    Cualquier dependencia que se cambie o agregue y que tenga vulnerabilidades se listará primero, se organizará por severidad y luego por nombre de dependencia. Esto significa que la severidad de dependencias más alta siempre se encontrará en la parte superior de la revisión de dependencias. El resto de las dependencias se lista por orden alfabético de acuerdo con el nombre de la dependencia.

    El icono junto a cada dependencia indica si se ha agregado (), actualizado () o eliminado () en esta solicitud de incorporación de cambios.

    El resto de la información incluye:

    • La versión o rango de versiones de la dependencia nueva, actualizada o borrada.
    • Para el caso de las versiones específicas de una dependencia:
      • La antigüedad del lanzamiento de la dependencia.
      • La cantidad de proyectos que dependen de este software. Esta información se toma de la gráfica de dependencias. Verificar la cantidad de dependientes que pueden ayudarte a evitar el agregar accidentalmente la dependencia incorrecta.
      • La licencia que utiliza esta dependencia si es que esta información se encuentra disponible. Esto es útil si quieres evitar el código que utilice licencias específicas, el cual utilizas en tu proyecto.

    Cuando una dependencia tiene una vulnerabilidad conocida, el mensaje de advertencia incluye:

    • Una descripción breve de la vulnerabilidad.
    • Un archivo de Vulnerabilidades y Exposiciones Comunes (CVE) o un número de identificación (GHSA) de GitHub Security Advisories. Puedes dar clic en esta ID para conocer más sobre la vulnerabilidad.
    • La severidad de la vulnerabilidad.
    • La versión de la dependencia en la cual se arregló la vulnerabilidad. Si estás revisando una solicitud de cambios para alguien, puedes pedir al contribuyente que actualice la dependencia a la versión parchada o a un lanzamiento más reciente.
  5. Puede que también quieras revisar el diff origen, ya que podría haber cambios en el archivo de bloqueo o de manifiesto que no cambian de dependencia o podrían haber dependencias que GitHub no puede procesar, las cuales, como resultado, no aparecen en la revisión de dependencias.

    Para regresar a la vista de diferencias de origen, haga clic en el botón .

    El botón de diff origen