Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
GitHub AE es una versión limitada en este momento.
All products
Seguridad de código

Acerca de las alertas Dependabot

En este artículo

GitHub AE envía Dependabot alerts cuando detectamos que el repositorio usa una dependencia vulnerable.

Dependabot alerts son gratis para los repositorios (propiedad del usuario y propiedad de la organización) en GitHub AE.

Acerca de Dependabot alerts

Las Dependabot alerts indican que el código depende de un paquete que no es seguro.

Si el código depende de un paquete con una vulnerabilidad de seguridad, esto puede causar una serie de problemas al proyecto o a las personas que lo usan. Debes actualizar a una versión segura del paquete lo antes posible.

Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».

Detección de dependencias no seguras

Nota: Dependabot alerts se encuentra actualmente en versión beta y está sujeto a cambios

Dependabot lleva a cabo un examen para detectar las dependencias no seguras y envía Dependabot alerts cuando:

  • Se sincronizan nuevos datos de aviso en tu empresa cada hora desde GitHub.com. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».

    Nota: Solo los avisos revisados por GitHub desencadenarán Dependabot alerts.

  • Cambia el gráfico de dependencias de un repositorio. Por ejemplo, cuando un colaborador inserta una confirmación para cambiar los paquetes o las versiones de las que depende . Para obtener más información, vea «Acerca del gráfico de dependencias».

Además, GitHub puede revisar cualquier dependencia que se agregue, actualice o quite en una solicitud de incorporación de cambios que se haga en la rama predeterminada de un repositorio, así como marcar cualquier cambio que pudiera disminuir la seguridad del proyecto. Esto te permite detectar y tratar dependencias vulnerables antes de que lleguen a tu código base, no después. Para obtener más información, vea «Revisar los cambios de las dependencias en una solicitud de cambios».

Para ver una lista de los ecosistemas en los que GitHub AE detecta dependencias no seguras, consulta "Acerca del gráfico de dependencias".

Nota: Es importante mantener actualizados el manifiesto y los archivos de bloqueo. Si el gráfico de dependencias no refleja con exactitud tus versiones y dependencias actuales, es posible que pases por alto las alertas de las dependencias no seguras que usas. También podrías obtener alertas de las dependencias que ya no utilizas.

Configuración de Dependabot alerts

Los propietarios de empresa deben habilitar Dependabot alerts para tu empresa antes de poder usar esta característica. Para obtener más información, vea «Habilitación de Dependabot para la empresa».

Cuando GitHub AE identifica una dependencia vulnerable, generamos una alerta de Dependabot, que se muestra en el gráfico de dependencias del repositorio. La alerta incluye información sobre una versión fija. GitHub AE también podría notificar a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. Para obtener más información, vea «Configuración de notificaciones para alertas de Dependabot».

Nota: las características de seguridad de GitHub AE no garantizan que se detectarán todas las vulnerabilidades. Mantenemos GitHub Advisory Database activamente y generamos alertas con la información más actualizada. Aun así, no podemos detectarlo todo ni informarle sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no sustituyen la revisión humana de posibles vulnerabilidades u otras incidencias en cada dependencia, y se recomienda consultar con un servicio de seguridad o realizar una revisión exhaustiva de las dependencias cuando sea necesario.

Acceder a las Dependabot alerts

Puede ver todas las alertas que afectan a un proyecto determinado en el gráfico de dependencias del repositorio. Para obtener más información, vea «Visualización y actualización de alertas de Dependabot».

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Dependabot alerts nuevas.

Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. Para más información, consulta "Configuración de notificaciones para alertas de Dependabot".

También puedes ver todas las Dependabot alerts que se corresponden con un aviso concreto en GitHub Advisory Database. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».