Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
GitHub AE es una versión limitada en este momento.
All products
Seguridad de código

Visualización y actualización de alertas de Dependabot

En este artículo

Si GitHub AE descubre dependencias no seguras en tu proyecto, podrás ver los detalles en la pestaña de alertas del Dependabot de tu repositorio. Después, podrás actualizar tu proyecto para resolver o descartar la alerta.

Quién puede usar esta característica

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

En la pestaña Dependabot alerts del repositorio se muestran todas las Dependabot alerts. Puedes filtrar las alertas por paquete, ecosistema o manifiesto. Puedes ordenar la lista de alertas y hacer clic en ellas para obtener más detalles. También puedes descartar o volver a abrir alertas. Para obtener más información, consulta "Acerca de las alertas Dependabot".

Puedes filtrar y ordenar las Dependabot alerts con diversos filtros y opciones de ordenación disponibles en la interfaz de usuario. Para obtener más información, consulta "Establecimiento de prioridades de las Dependabot alerts" a continuación.

También puedes auditar las acciones realizadas en respuesta a las alertas de Dependabot. Para obtener más información, vea «Auditoría de alertas de seguridad».

Establecimiento de prioridades de Dependabot alerts

GitHub te permite priorizar la corrección de las Dependabot alerts.

Puedes ordenar y filtrar Dependabot alerts escribiendo filtros como pares de key:value en la barra de búsqueda.

OpciónDescripciónEjemplo
ecosystemSe muestran alertas para el ecosistema seleccionadoUsa ecosystem:npm para mostrar Dependabot alerts para npm
hasSe muestran alertas que cumplen los criterios de filtro seleccionadosUsa has:patch para mostrar alertas relacionadas con avisos que tienen una revisión
isSe muestran alertas en función de su estadoUsa is:open para mostrar alertas abiertas
manifestSe muestran alertas para el manifiesto seleccionadoUsa manifest:webwolf/pom.xml para mostrar alertas en el archivo pom.xml de la aplicación WebWolf
packageSe muestran alertas para el paquete seleccionadoUsa package:django para mostrar alertas para Django
resolutionSe muestran alertas del estado de resolución seleccionadoUsa resolution:no-bandwidth para mostrar alertas previamente estacionadas debido a la falta de recursos o de tiempo para corregirlas
repoSe muestran alertas basadas en el repositorio al que hacen referencia
Ten en cuenta que este filtro solo está disponible en la información general de seguridad. Para más información, consulta "Información general sobre seguridad".		Usa repo:octocat-repo para mostrar alertas en el repositorio denominado octocat-repo
severitySe muestran alertas en función de su nivel de gravedadUsa severity:high para mostrar alertas de gravedad alta

Además de los filtros disponibles mediante la barra de búsqueda, puedes ordenar y filtrar las Dependabot alerts con los menús desplegables situados en la parte superior de la lista de alertas.

La barra de búsqueda también permite la búsqueda de texto completo de alertas y avisos de seguridad relacionados. Puedes buscar parte del nombre o la descripción de un aviso de seguridad para devolver las alertas del repositorio relacionadas con ese aviso de seguridad. Por ejemplo, la búsqueda de yaml.load() API could execute arbitrary code devolverá Dependabot alerts vinculadas a "PyYAML deserializa de forma no segura las cadenas YAML que llevan a la ejecución arbitraria de código", ya que la cadena de búsqueda aparece en la descripción del aviso.

Visualización de Dependabot alerts

  1. En tu empresa, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro. 1. En la barra lateral "Alertas de vulnerabilidad" de la página Información general de seguridad, haz clic en Dependabot . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio". Captura de pantalla de la página de información general de seguridad, con la pestaña "Dependabot" resaltada con un contorno naranja oscuro.
  2. De forma opcional, para filtrar alertas puedes seleccionar un menú desplegable y luego hacer clic en el filtro que quieres aplicar. También puedes teclear filtros en la barra de búsqueda. Para obtener más información sobre el filtrado y la ordenación de alertas, consulta "Establecimiento de prioridades de Dependabot alerts".
  3. Haz clic en la alerta que te gustaría ver.

Revisión y corrección de alertas

Es importante asegurarse de que todas las dependencias estén limpias de cualquier punto débil de seguridad. Cuando Dependabot detecta vulnerabilidades en las dependencias, debes evaluar el nivel de exposición del proyecto y determinar qué medidas de corrección se deben tomar para proteger la aplicación.

En los casos en los que una versión revisada no está disponible o no se puede actualizar a la versión segura, Dependabot comparte información adicional para ayudarte a determinar los pasos siguientes. Al hacer clic en para ver una alerta de Dependabot, puedes ver los detalles completos del aviso de seguridad para la dependencia, incluidas las funciones afectadas. Después, puedes comprobar si el código llama a las funciones afectadas. Esta información puede ayudarte a evaluar aún más el nivel de riesgo y determinar las soluciones alternativas o si puedes aceptar el riesgo que representa la asesoría de seguridad.

Corrección de dependencias vulnerables

  1. Consulta los detalles de una alerta. Para obtener más información, consulta "Visualización de Dependabot alerts" (más arriba).

  2. Puedes usar la información de la página para decidir a qué versión de la dependencia actualizar y crear una solicitud de incorporación de cambios para el manifiesto o bloquear el archivo en una versión segura.

  3. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

Descarte de Dependabot alerts

Sugerencia: Solo puedes descartar alertas abiertas.

Si programas un trabajo extenso para actualizar una dependencia o decides que no es necesario corregir una alerta, puedes descartar la alerta. Descartar las alertas que ya has evaluado facilita la evaluación de nuevas alertas a medida que aparecen.

  1. Consulta los detalles de una alerta. Para obtener más información, consulta "Visualización de dependencias vulnerables" (arriba).

  2. Selecciona la lista desplegable "Descartar" y haz clic en un motivo para descartar la alerta. Las alertas descartadas sin fijar se pueden volver a abrir más adelante.

    Captura de pantalla de la página de una alerta de Dependabot, con la lista desplegable "Descartar" y sus opciones resaltadas con un contorno naranja oscuro.

Visualización y actualización de alertas cerradas

Puedes ver todas las alertas abiertas y puedes volver a abrir las alertas que se han descartado anteriormente. Las alertas cerradas que ya se han corregido no se pueden volver a abrir.

  1. En tu empresa, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro. 1. En la barra lateral "Alertas de vulnerabilidad" de la página Información general de seguridad, haz clic en Dependabot . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio". Captura de pantalla de la página de información general de seguridad, con la pestaña "Dependabot" resaltada con un contorno naranja oscuro.

  2. Para ver las alertas cerradas, haga clic en Closed.

  3. Haga clic en la alerta que le gustaría ver o actualizar.

  4. Si la alerta se ha descartado y desea volver a abrirla, también puede hacer clic en Reopen. Las alertas que ya se han corregido no se pueden volver a abrir.

    Captura de pantalla en la que se muestra una alerta de Dependabot cerrada. El botón "Volver a abrir" está resaltado con un contorno naranja oscuro.

Revisión de los registros de auditoría de Dependabot alerts

Cuando un miembro de la organización o empresa realiza una acción relacionada con Dependabot alerts, puedes revisar las acciones en el registro de auditoría. Para obtener más información sobre el acceso al registro, consulte "Revisar el registro de auditoría de tu organización" y "Acceso al registro de auditoría de la empresa"

Los eventos del registro de auditoría de Dependabot alerts incluyen detalles como quién realizó la acción, cuál fue la acción y cuándo se realizó la acción. Para obtener información sobre las acciones Dependabot alerts, consulte la categoría repository_vulnerability_alert en "Eventos de registro de auditoría de la organización" y "Eventos de registro de auditoría de la empresa"