Acerca de Dependabot para GitHub AE
Dependabot ayuda a que los usuarios de tu empresa busquen y corrijan vulnerabilidades en sus dependencias.
Nota: Dependabot alerts se encuentra actualmente en versión beta y está sujeto a cambios
Con Dependabot alerts, GitHub identifica las dependencias no seguras en los repositorios y crea alertas sobre tu empresa usando datos de GitHub Advisory Database y el servicio de gráfico de dependencias.
Agregamos asesorías a la GitHub Advisory Database desde los siguientes orígenes:
- Asesorías de seguridad que se reportan en GitHub
- La base de datos de vulnerabilidades nacional
- La base de datos de advertencias de seguridad de npm
- La base de datos FriendsOfPHP
- La base de datos Go Vulncheck
- La base de datos de asesoramiento de empaquetado de Python
- La base de datos de asesoramiento de Ruby
- La base de datos de asesoramiento de RustSec
- Aportaciones de la comunidad. Para más información, vea https://github.com/github/advisory-database/pulls.
Si conoce otra base de datos de la que deberíamos importar avisos, háganoslo saber si abre un problema en https://github.com/github/advisory-database.
Después de que habilite Dependabot alerts para tu empresa, los datos de vulnerabilidad se sincronizan desde GitHub Advisory Database a tu instancia una vez cada hora. Únicamente se sincronizan las asesorías que revisa GitHub. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».
También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para obtener más información, vea «Visualización de los datos de vulnerabilidad de la empresa».
Nota: Al habilitar Dependabot alerts, no se carga ningún código ni información sobre el código de tu empresa en GitHub.com.
Cuando tu empresa recibe información sobre una vulnerabilidad, identifica los repositorios de tu empresa en los que se usa la versión afectada de la dependencia y genera Dependabot alerts. Puedes elegir si quieres notificar a los usuarios automáticamente acerca de las Dependabot alerts nuevas o no.
Para los repositorios que cuenten con las Dependabot alerts habilitadas, el escaneo se activa en cualquier subida a la rama predeterminada. Además, cuando se agrega un nuevo registro de vulnerabilidad a tu empresa, GitHub AE examina todos los repositorios existentes en tu empresa y genera alertas relativas a cualquier repositorio vulnerable. Para obtener más información, vea «Acerca de las alertas Dependabot».
Habilitación de Dependabot alerts
Antes de habilitar Dependabot alerts:
- Debe habilitar GitHub Connect. Para más información, consulta "Administrar GitHub Connect".
-
En la esquina superior derecha de GitHub AE, haga clic en la foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta empresarial, haz clic en GitHub Connect .
-
En "Los repositorios se pueden examinar para buscar vulnerabilidades", seleccione el menú desplegable y haga clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haga clic en Habilitado con notificaciones.
Sugerencia: Le recomendamos configurar Dependabot alerts sin notificaciones durante los primeros días para evitar una sobrecarga de correos electrónicos. Después de varios días, puede habilitar las notificaciones para recibir Dependabot alerts de la forma habitual.