Acerca de las dependencias vulnerables
Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.
Cuando tu código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas para tu proyecto o para las personas que lo utilizan.
Detección de dependencias vulnerables
GitHub Enterprise detecta dependencias vulnerables y manda alertas de seguridad cuando:
- Se sincronizan los datos de las asesorías nuevas en GitHub Enterprise Server cada hora desde GitHub.com. Para obtener más información acerca de los datos de las asesorías, consulta la sección "Buscar vulnerabilidades de seguridad en el GitHub Advisory Database".
- La gráfica de dependencias para los cambios a un repositorio. For example, when a contributor pushes a commit to change the packages or versions it depends on. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".
Para encontrar una lista de ecosistemas para las cuales GitHub Enterprise puede detectar vulnerabilidades y dependencias, consulta la sección ecosistemas de paquete compatibles".
Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. Si la gráfica de dependencias no refleja con exactitud tus versiones y dependencias actuales, entonces podrías dejar pasar las alertas de las dependencias vulnerables que utilizas. También podrías obtener alertas de las dependencias que ya no utilizas.
Alertas de seguridad para las dependencias vulnerables
Tu administrador de sitio debe habilitar las alertas de seguridad para las dependencias vulnerables de tu instancia de servidor de GitHub Enterprise para que puedas utilizar esta característica. Para obtener más información, consulta "Habilitar alertas de seguridad para dependencias vulnerables en el GitHub Enterprise Server".
Cuando GitHub Enterprise identifica una dependencia vulnerable, enviamos una seguridad del Dependabot a los mantenedores de los repositorios afectados con los detalles sobre la vulnerabilidad, un enlace para el archivo afectado en el proyecto y la información acerca de la versión corregida.
Nota: Las características de seguridad de GitHub Enterprise no aseguran que se detectarán todas las vulnerabilidades. Aunque siempre estamos intentando actualizar nuestra base de datos de vulnerabilidades y alertarte con nuestra información más actualizada, no nos será posible atrapar todo o alertarte sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no son sustitutos de la revisión humana de cada dependencia por posibles vulnerabilidades o cualquier otra cuestión. Te recomendamos consultar con un servicio de seguridad o realizar una revisión de vulnerabilidad exhaustiva cuando sea necesario.
Acceso a las seguridad delDependabot
Puedes ver todas las alertas que afectan a un proyecto en particular en la gráfica de dependencias del repositorio.
Enviamos segurdidad del dependabot predeterminadamente a las personas con permisos adminsitrativos en los repositorios afectados. GitHub Enterprise nunca divulga públicamente las vulnerabilidades identificadas para algún repositorio.
Configurar las notificaciones para
Predeterminadamente, si tu administrador de sitio configuró las notificaciones por correo electrónico en tu instancia, recibirásalertas de seguridad por correo electrónico. También puedes elegir recibir alertas de seguridad en un mensaje de correo electrónico semanal, el cual resuma las alertas de hasta 10 de tus repositorios, en tus notificaciones web, o en la interface de usuario de GitHub Enterprise. Para obtener más información, consulta la sección Elegir el método de entrega para tus notificaciones".