Skip to main content

Acerca de las alertas del Dependabot

GitHub AE envía Las alertas del dependabot cuando detectamos que tu repositorio utiliza una dependencia vulnerabile.

Acerca de Las alertas del dependabot

Las Las alertas del dependabot te indican cuando tu código depende de un paquete que no es seguro.

Si tu código depende de un paquete con una vulnerabilidad de seguridad, esto puede ocasionar varios problemas para tu proyecto o para la persona que lo utiliza. Deberás mejorar a una versión segura del paquete tan pronto sea posible.

Para obtener más información, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database".

Detección de dependencias inseguras

Nota: Las alertas del dependabot se encuentra acutalmente en beta y está sujeto a cambios.

El Dependabot realiza un escaneo para detectar las dependencias inseguras y envía Las alertas del dependabot cuando:

  • Se sincronizan los datos de las asesorías nuevas en tu empresa cada hora desde GitHub.com. Para obtener más información, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database".

    Nota: Solo las asesorías que ha revisado GitHub activarán las Las alertas del dependabot.

  • La gráfica de dependencias para los cambios a un repositorio. Por ejemplo, cuando un colaborador sube una confirmación para cambiar los paquetes o versiones de los cuales depende. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Adicionalmente, GitHub puede revisar cualquier dependencia agregada, actualizada o eliminada en una solicitud de cambios que se haya hecho contra la rama predeterminada de un repositorio y marcar cualquier cambio que reduciría la seguridad de tu proyecto. Esto te permite detectar y tratar las dependencias vulnerables antes, en vez de después, de que lleguen a tu base de código. Para obtener más información, consulta la sección "Revisar los cambios de las dependencias en una solicitud de cambios".

Para encontrar una lista de ecosistemas en los cuales GitHub AE detecta dependencias inseguras, consulta la sección "Ecosistemas de paquete compatibles".

Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. Si la gráfica de dependencia no refleja tus dependencias y versiones actuales con exactitud, entonces podrías perderte de las alertas para las dependencias inseguras que utilizas. También podrías obtener alertas de las dependencias que ya no utilizas.

Configuración de las Las alertas del dependabot

Los propietarios de empresas deben habilitar las Las alertas del dependabot para tu empresa antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

Cuando GitHub AE identifica una dependencia vulnerable, generamos una alerta del Dependabot y la mostramos en la gráfica de dependencias de este. La alerta incluye información sobre una versión corregida. GitHub AE también podría notificar a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. Para obtener más información, consulta la sección "Configurar notificaciones para las Las alertas del dependabot".

Nota: Las características de seguridad del GitHub AE no pretenden detectar todas las vulnerabilidades. Mantenemos activamente la GitHub Advisory Database y generamos alertas con la información más actualizada. Sin embargo, no podemos detectar o notificarte sobre las vulnerabilidades conocidas dentro de un marco de tiempo garantizado. Las características no son sustitutos de una revisión humana de cada dependencia contra las vulnerabilidades potenciales ni contra cualquier otro problema y te recomendamos consultar con un servicio de seguridad o llevar a cabo una revisión de dependencias exhaustiva cuando sea necesario.

Acceder a las Las alertas del dependabot

Puedes ver todas las alertas que afectan un proyecto en particular en la gráfica de dependencias del repositorio. For more information, see "Viewing and updating Las alertas del dependabot."

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Las alertas del dependabot nuevas.

Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían.Para obtener más información, consulta la sección "Configurar notificaciones para las Las alertas del dependabot".

También puedes ver todas las Las alertas del dependabot que corresponden a una asesoría específica en la GitHub Advisory Database. Para obtener más información, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database".