Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Ver y actualizar dependencias vulnerables en tu repositorio

Si GitHub descubre una dependencia vulnerable en tu proyecto, podrás verla en la pestaña de alertas del Dependabot de tu repositorio. Posteriormente, podrás actualizar tu proyecto para resolver o descartar la vulnerabilidad.

Los administradores de repositorio y propietarios de la organización pueden ver y actualizar las dependencias.

En este artículo

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.

La pestaña de alertas del Dependabot de GitHub de tu repositorio lista todas las Alertas del Dependabot de GitHub abiertas y cerradas, y las Actualizaciones de seguridad del Dependabot de GitHub correspondientes. Puedes clasificar la lista de alertas utilizando el menú desplegable y hacer clic en alertas específicas para obtener más detalles. Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables".

Puedes habilitar automáticamente las alertas de seguridad para cualquier repositorio que utilice Alertas del Dependabot de GitHub y la gráfica de dependencias. Para obtener más información, consulta la sección "Configurar las Actualizaciones de seguridad del Dependabot de GitHub".

Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio

GitHub envía Alertas del Dependabot de GitHub cuando detectamos vulnerabilidades que afectan tu repositorio. Para los repositorios en donde se habilitaron las Actualizaciones de seguridad del Dependabot de GitHub, cuando GitHub detecta una dependencia vulnerable, el Dependabot crea una solicitud de extracción para arreglarla. La solicitud de extracción mejorará la dependencia a la versión segura mínima que sea posible y necesaria para evitar la vulnerabilidad.

Nota: El tener pruebas automatizadas y procesos de aceptación establecidos para que las verificaciones se lleven a cabo antes de que se fusione la solicitud de extracción se considera como una buena práctica. Esto es particularmente importante si la versión que se sugiere mejorar contiene funcionalidades adicionales o un cambio que infrinja el código de tu proyecto. Para obtener más información acerca de la integración contínua, consulta la sección "Acerca de la Integración Contínua".

Ver y actualizar las dependencias vulnerables

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en alertas del Dependabot.
    Pestaña de alertas del Dependabot
  4. Haz clic en la alerta que quieres ver.
    Alerta seleccionada en la lista de alertas
  5. Revisa los detalles de la vulnerabilidad y, en caso de que esté disponible, la solicitud de extracción que contienen la actualización de seguridad automatizada.
  6. Opcionalmente, si no existe ya una actualización de Actualizaciones de seguridad del Dependabot de GitHub para la alerta, para crear una solicitud de extracción o para resolver la vulnerabilidad, da clic en Crear una actualización de eguridad del Dependabot.
    Crea un botón de actualización de seguridad del Dependabot
  7. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción. Cada solicitud de extracción que levante el Dependabot incluye información sobre los comandos que puedes utilizar para controlar el Dependabot. Para obtener más información, consulta la sección "Adminsitrar las solicitudes de extracción para las actualizaciones de las dependencias".
  8. Opcionalmente, si se está arreglando la alerta, si es incorrecta o si se ubica en una sección de código sin utilizar, utiliza el menú desplegable de "Descartar" y da clic en una razón para descartar la alerta.
    Elegir una razón para descartar la alerta a través del menú desplegable de "Descartar"

Leer más

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.