Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
GitHub AE está actualmente en un lanzamiento limitado. Por favor, contacta a nuestro equipo de ventas para conocer más sobre esto.

About Dependabot alerts

GitHub AE sends Las alertas del dependabot when we detect that your repository uses a vulnerable dependency.

Acerca de Las alertas del dependabot

Las alertas del dependabot tell you that your code depends on a package that is insecure.

If your code depends on a package with a security vulnerability, this can cause a range of problems for your project or the people who use it. You should upgrade to a secure version of the package as soon as possible.

For more information about advisory data, see "Browsing security advisories in the GitHub Advisory Database" in the GitHub.com documentation.

Detection of insecure dependencies

Nota: Las alertas del dependabot se encuentra acutalmente en beta y está sujeto a cambios.

Dependabot performs a scan to detect insecure dependencies, and sends Las alertas del dependabot when:

  • Se sincronizan los datos de las asesorías nuevas en tu empresa cada hora desde GitHub.com. For more information about advisory data, see "Browsing security advisories in the GitHub Advisory Database" in the GitHub.com documentation.

    Nota: Solo las asesorías que ha revisado GitHub activarán las Las alertas del dependabot.

  • La gráfica de dependencias para los cambios a un repositorio. Por ejemplo, cuando un colaborador sube una confirmación para cambiar los paquetes o versiones de los cuales depende. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Adicionalmente, GitHub can review any dependencies added, updated, or removed in a pull request made against the default branch of a repository, and flag any changes that would reduce the security of your project. This allows you to spot and deal with vulnerable dependencies before, rather than after, they reach your codebase. Para obtener más información, consulta la sección "Revisar los cambios a las dependencias en una solicitud de cambios".

For a list of the ecosystems that GitHub AE detects insecure dependencies in, see "Supported package ecosystems."

Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. If the dependency graph doesn't accurately reflect your current dependencies and versions, then you could miss alerts for insecure dependencies that you use. También podrías obtener alertas de las dependencias que ya no utilizas.

Configuration of Las alertas del dependabot

Los propietarios de empresas deben habilitar las Las alertas del dependabot para tu empresa antes de que puedas utilizar esta característica. Para obtener más información, consulta la sección "Habilitar la Dependabot en tu empresa".

When GitHub AE identifies a vulnerable dependency, we generate a Dependabot alert and display it in the repository's dependency graph. La alerta incluye información sobre una versión corregida. GitHub AE también podría notificar a los mantenedores de los repositorios afectados sobre la nueva alerta de acuerdo con sus preferencias de notificaciones. For more information, see "Configuring notifications for Las alertas del dependabot."

Note: GitHub AE's security features do not claim to catch all vulnerabilities. We actively maintain GitHub Advisory Database and generate alerts with the most up-to-date information. However, we cannot catch everything or tell you about known vulnerabilities within a guaranteed time frame. These features are not substitutes for human review of each dependency for potential vulnerabilities or any other issues, and we recommend consulting with a security service or conducting a thorough dependency review when necessary.

Acceder a las Las alertas del dependabot

Puedes ver todas las alertas que afectan un proyecto en particular en la gráfica de dependencias del repositorio. For more information, see "Viewing and updatng Las alertas del dependabot."

Predeterminadamente, notificamos a las personas con permisos administrativos en los repositorios afectados sobre las Las alertas del dependabot nuevas.

Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. For more information, see "Configuring notifications for Las alertas del dependabot."

You can also see all the Las alertas del dependabot that correspond to a particular advisory in the GitHub Advisory Database. For more information about advisory data, see "Browsing security advisories in the GitHub Advisory Database" in the GitHub.com documentation.