GitHub AE es una versión limitada en este momento.

Habilitación de Dependabot para la empresa

En este artículo

Puedes dejar que los usuarios de tu empresa busquen y corrijan vulnerabilidades en sus dependencias de código mediante la habilitación de Dependabot alerts.

Quién puede usar esta característica

Enterprise owners can enable Dependabot.

Acerca de Dependabot para GitHub AE

Dependabot ayuda a que los usuarios de tu empresa busquen y corrijan vulnerabilidades en sus dependencias.

Nota: Dependabot alerts se encuentra actualmente en versión beta y está sujeto a cambios

Con Dependabot alerts, GitHub identifica las dependencias no seguras en los repositorios y crea alertas sobre tu empresa usando datos de GitHub Advisory Database y el servicio de gráfico de dependencias.

Agregamos asesorías a la GitHub Advisory Database desde los siguientes orígenes:

Si conoce otra base de datos de la que deberíamos importar avisos, háganoslo saber si abre un problema en https://github.com/github/advisory-database.

Después de que habilite Dependabot alerts para tu empresa, los datos de vulnerabilidad se sincronizan desde GitHub Advisory Database a tu instancia una vez cada hora. Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».

También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para obtener más información, vea «Visualización de los datos de vulnerabilidad de la empresa».

Nota: Al habilitar Dependabot alerts, no se carga ningún código ni información sobre el código de tu empresa en GitHub.com.

Cuando tu empresa recibe información sobre una vulnerabilidad, identifica los repositorios de tu empresa en los que se usa la versión afectada de la dependencia y genera Dependabot alerts. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Dependabot alerts nuevas o no.

Para los repositorios que cuenten con las Dependabot alerts habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Además, cuando se agrega un nuevo registro de vulnerabilidad a tu empresa, GitHub AE examina todos los repositorios existentes en tu empresa y genera alertas relativas a cualquier repositorio vulnerable. Para obtener más información, vea «Acerca de las alertas Dependabot».

Habilitación de Dependabot alerts

Antes de habilitar Dependabot alerts:

  1. En la esquina superior derecha de GitHub AE, haga clic en la foto de perfil y luego en Configuración de empresa.

    Captura de pantalla del menú desplegable que aparece al hacer clic en la foto de perfil en GitHub Enterprise Server. La opción "Configuración de Enterprise" está resaltada en un contorno naranja oscuro.

  2. En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect .

  3. En "Los repositorios se pueden examinar para buscar vulnerabilidades", seleccione el menú desplegable y haga clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haga clic en Habilitado con notificaciones.

Sugerencia: Le recomendamos configurar Dependabot alerts sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de varios días, puede habilitar las notificaciones para recibir Dependabot alerts de la forma habitual.