Acerca de las notificaciones de Dependabot alerts
Cuando Dependabot detecta las dependencias vulnerables en tus repositorios, generamos una alerta del Dependabot y la mostramos en la pestaña Seguridad del repositorio. GitHub AE notifica a los mantenedores de los repositorios afectados sobre la alerta nueva de acuerdo con sus preferencias de notificaciones.
De forma predeterminada, si el propietario de tu empresa configuró las notificaciones por correo electrónico en ella, recibirás Dependabot alerts por este medio.
Los propietarios de empresas también pueden habilitar las Dependabot alerts sin notificaciones. Para obtener más información, vea «Habilitación de Dependabot para la empresa».
Configurar las notificaciones para las Dependabot alerts
Puedes configurar los ajustes de notificaciones para ti mismo o para tu organización desde el menú desplegable de administrar notificaciones que se muestra en la parte superior de cada página. Para obtener más información, vea «Configuración de notificaciones».
Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. De manera predeterminada, si el propietario de tu empresa ha configurado las notificaciones por correo electrónico en tu instancia, recibirás Dependabot alerts:
- en la bandeja de entrada, como notificaciones web. Se enviará una notificación web cuando se habilite Dependabot en un repositorio, cuando se confirme un archivo de manifiesto nuevo en el repositorio y cuando se encuentre una vulnerabilidad nueva con gravedad crítica o alta (en la opción GitHub ).
- por correo electrónico, se enviará un mensaje de correo electrónico cuando se habilite Dependabot para un repositorio, cuando se confirme un archivo de manifiesto nuevo en el repositorio y cuando se encuentre una vulnerabilidad nueva de gravedad crítica o alta (la opción Email).
- en la interfaz de usuario, se muestra una advertencia en las vistas de archivos y código del repositorio si hay dependencias no seguras (opción Alertas de la interfaz de usuario).
- en la línea de comandos, las advertencias se muestran como devoluciones de llamada al insertar en repositorios con dependencias no seguras (opción CLI).
Nota: Las notificaciones por correo electrónico y web son las siguientes:
-
Por repositorio cuando Dependabot se habilita en el repositorio o cuando se confirma un archivo de manifiesto nuevo en el repositorio.
-
Por organización cuando se descubre una vulnerabilidad nueva.
-
Se envía cuando se descubre una vulnerabilidad nueva. GitHub no envía notificaciones cuando se actualizan las vulnerabilidades.
Puedes personalizar la forma en que recibes notificaciones sobre Dependabot alerts. Por ejemplo, puedes recibir un correo electrónico semanal con el resumen de las alertas de hasta 10 de los repositorios mediante las opciones Email a digest summary of vulnerabilities y Weekly security email digest.
Nota: Puedes filtrar tus notificaciones en GitHub para mostrar Dependabot alerts. Para obtener más información, vea «Administrar las notificaciones en tu bandeja de entrada».
Las notificaciones por correo electrónico para Dependabot alerts que afectan a uno o más repositorios incluyen el campo de encabezado X-GitHub-Severity. Puede usar el valor del campo de encabezado X-GitHub-Severity para filtrar las notificaciones por correo electrónico de Dependabot alerts. Para más información, consulta "Configuración de notificaciones".
Cómo reducir el ruido de las notificaciones de Dependabot alerts
Si te preocupa recibir demasiadas notificaciones para las Dependabot alerts, te recomendamos que te unas al resumen semanal por correo electrónico o que apagues las notificaciones mientras mantienes habilitadas las Dependabot alerts. Aún puedes navegar para ver las Dependabot alerts en la pestaña Seguridad del repositorio. Para más información, consulta "Visualización y actualización de alertas de Dependabot".