Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Condigurar las actualizaciones de seguridad del Dependabot de GitHub

Puedes utilizar las Actualizaciones de seguridad del Dependabot de GitHub o las solicitudes de extracción manuales para actualizar fácilmente las dependencias vulnerables.

En este artículo

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.

Acerca de Actualizaciones de seguridad del Dependabot de GitHub

El Dependabot monitorea las asesorías de seguridad tales como la GitHub Advisory Database y WhiteSource, y activa automáticamente una solicitud de extracción cuando detecta que hay una dependencia vulnerable nueva en el gráfico de dependencias de los repositorios. Para obtener más información acerca de la GitHub Advisory Database, consulta la sección "Acerca de la GitHub Advisory Database".

La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.

Nota: El tener pruebas automatizadas y procesos de aceptación establecidos para que las verificaciones se lleven a cabo antes de que se fusione la solicitud de extracción se considera como una buena práctica. Esto es particularmente importante si la versión que se sugiere mejorar contiene funcionalidades adicionales o un cambio que infrinja el código de tu proyecto. Para obtener más información acerca de la integración contínua, consulta la sección "Acerca de la Integración Contínua".

El Dependabot incluye un enlace a la solicitud de extracción para la dependencia vulnerable en la alerta. Para obtener más información, consulta las secciones "Acerca de las alertas para las dependencias vulnerables" y "Acerca de la gráfica de dependencias".

Cada actualización de seguridad contiene todo lo que tienes que revisar y fusionar de manera rápida y segura para una propuesta de corrección en tu proyecto. Esto incluye la información acerca de la vulnerabilidad, como las notas de lanzamiento, las entradas de bitácora de cambios, y los detalles de confirmación. Los detalles sobre qué vulnerabilidad resuelve una solicitud de extracción se encuentran escondidos de todo aquél que no tenga acceso a las alertas de Dependabot para el repositorio.

Cuando fusionas una solicitud de extracción que contiene una actualización de seguridad, la alerta correspondiente se marca como resuelta para tu repositorio.

Nota: Las Actualizaciones de seguridad del Dependabot de GitHub solo resuelven vulnerabilidades de seguridad en las dependencias que rastrea tu gráfica de dependencias. Las actualizaciones de seguridad no se crean para resolver vulnerabilidades en registros privados o en paquetes hospedados en repositorios privados. Sin embargo, las dependencias indirectas o transitorias se incluyen si se definen explícitamente en un archivo bloqueado, o en alguno similar. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias". Adicionalmente, es importante resaltar que las Actualizaciones de seguridad del Dependabot de GitHubcrean solicitudes de extracción automáticamente con las correcciones propuestas para los archivos bloqueados para las dependencias que detectan como vulnerables.

Puedes habilitar las Actualizaciones de seguridad del Dependabot de GitHub para cualquier repositorio que utilice las alertas del Dependabot y la gráfica de dependencias. Puedes inhabilitar las Actualizaciones de seguridad del Dependabot de GitHub para un repositorio individual o para todos los repositorios que pertenezcan a tu organización o cuenta de usuario. Para obtener más información, consulta la sección "Administrar las Actualizaciones de seguridad del Dependabot de GitHub para tus repositorios" acontinuación.

En las Condiciones de Servicio de GitHub se incluyen al Dependabot de GitHub y a todas sus características relacionadas.

Repositorios compatibles

GitHub habilita las Actualizaciones de seguridad del Dependabot de GitHub automáticamente para cada repositorio que cumpla con estos pre-requisitos.

Note: You can manually enable Actualizaciones de seguridad del Dependabot de GitHub, even if the repository doesn't meet some of the prerequisites below. For example, you can enable Actualizaciones de seguridad del Dependabot de GitHub on a fork, or for a package manager that isn't directly supported by following the instructions in "Managing Actualizaciones de seguridad del Dependabot de GitHub for your repositories."

Pre-requisito de habilitación automáticaMás información
Que el repositorio no sea una bifrucación"Acerca de las bifurcaciones"
Que el repositorio no esté archivado"Archivar repositorios"
Que el repositorio sea público, o que sea privado y hayas habilitado un análisis de solo lectura por GitHub, gráfica de dependencias y alertas de vulnerabilidades en la configuración del mismo"Administrar la configuración de uso de datos para tu repositorio privado".
Que el repositorio contenga un archivo de manifiesto de dependencias de un ecosistema de paquete que sea compatible con GitHub"Ecosistemas de paquete compatibles"
Las Actualizaciones de seguridad del Dependabot de GitHub no se han inhabilitado para el repositorio"Administrar las Actualizaciones de seguridad del Dependabot de GitHub para tu repositorio"
Que el repositorio no esté utilizando ya una integración para administración de dependencias"Acerca de las integraciones"

Si no se habilitan las actualizaciones de seguridad para tu repositorio y no sabes por qué, intenta primero habilitarles de acuerdo con las instrucciones que se encuentran en los procedimientos siguientes. Si las actualizaciones aún no funcionan, puedes contactar a soporte.

Acerca de las puntuaciones de compatibilidad

Las Actualizaciones de seguridad del Dependabot de GitHub también incluyen puntuaciones de compatibilidad para que sepas si el actualizar una vulnerabilidad podría causar cambios sustanciales en tu proyecto. Revisamos las pruebas de IC que pasaron previamente en repositorios públicos en donde generamos alguna actualización de seguridad para aprender si la actualización puede causar que las pruebas fallen. Una puntuación de compatibilidad de la actualización es el porcentaje de ejecuciones de CI que se aprobaron al actualizar entre las versiones relevantes de la dependencia.

Administrar las Actualizaciones de seguridad del Dependabot de GitHub para tus repositorios

Puedes habilitar o inhabilitar las Actualizaciones de seguridad del Dependabot de GitHub para un repositorio individual.

También puedes habilitar o inhabilitar las Actualizaciones de seguridad del Dependabot de GitHub para todos los repositorios que pertenezcan atu cuenta de usuario u organización. Para obtener más información, consulta la sección "Administrar la seguridad y la configuración de análisis para tu cuenta de usuario" o la sección"Administrar la configuración de seguridad y análisis para tu organización".

Las Actualizaciones de seguridad del Dependabot de GitHub requieren de configuraciones de repositorio específicas. Para obtener más información, consulta la sección "Repositorios compatibles".

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en alertas del Dependabot.
    Pestaña de alertas del Dependabot
  4. Arriba de la lista de alertas, utiliza el menú desplegable y selecciona o deselecciona alertas de seguridad del Dependabot.
    Menú desplegable con la opción de habilitar las Actualizaciones de seguridad del Dependabot de GitHub

Leer más

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.