Acerca del Dependabot para GitHub AE
El Dependabot ayuda a que los usuarios de tu empresa encuentren y corrijan vulnerabilidades en sus dependencias.
Nota: Las alertas del dependabot se encuentra acutalmente en beta y está sujeto a cambios.
Con las Las alertas del dependabot, GitHub identifica las dependencias inseguras en los repositorios y crea alertas en tu empresa utilizando datos de la GitHub Advisory Database y el servicio de la gráfica de dependencias.
Agregamos asesorías a la GitHub Advisory Database desde las siguientes fuentes:
- La National Vulnerability Database
- Una combinación de aprendizaje automático y revisión humana para detectar vulnerabilidades en confirmaciones públicas en GitHub
- Asesorías de seguridad que se reportan en GitHub
- La base de datos de Asesorías de seguridad de npm database
Después de que habilitas las Las alertas del dependabot para tu empresa, los datos de las vulnerabilidades se sincronizan desde la GitHub Advisory Database con tu instancia una vez por hora. Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información sobre los datos de la asesoría, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database" en la documentación de GitHub.com.
También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para obtener más información, consulta la sección "Ver los datos de vulnerabilidad de tu empresa".
Nota: cuando habilitas las Las alertas del dependabot, no se carga código ni información sobre este desde tu empresa hacia GitHub.com.
Cuando tu empresa recibe la información sobre una vulnerabilidad, identifica los repositorios de tu empresa que utilizan la versión afectada de la dependencia y genera Las alertas del dependabot. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Las alertas del dependabot nuevas o no.
Para los repositorios que cuenten con las Las alertas del dependabot habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Adicionalmente, cuando se agrega un registro de vulnerabilidad nuevo a tu empresa, GitHub AE escanea todos los repositorios existentes en tu empresa y genera alertas para cualquier repositorio que esté vulnerable. Para obtener más información, consulta la sección "Acerca deLas alertas del dependabot".
Habilitar Las alertas del dependabot
Antes de que puedas habilitar las Las alertas del dependabot:
- Debes habilitar GitHub Connect. Para obtener más información, consulta la sección "Administrar GitHub Connect".
-
En la esquina superior derecha de GitHub AE, da clic en tu foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect.
-
Dabjo de "Se pueden escanear los repositorios para encontrar vulnerabilidades", selecciona el menú desplegable y haz clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haz clic en Habilitado con notificaciones.
Tip: Te recomendamos configurar las Las alertas del dependabot sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de algunos días, puedes habilitar las notificaciones para recibir las Las alertas del dependabot como de costumbre.