Skip to main content

Visualización y actualización de alertas de Dependabot

Si GitHub AE descubre dependencias no seguras en tu proyecto, podrás ver los detalles en la pestaña de alertas del Dependabot de tu repositorio. Después, podrás actualizar tu proyecto para resolver o descartar la alerta.

Who can use this feature

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

Nota: Las actualizaciones de seguridad y versión de Dependabot se encuentran actualmente en versión beta pública y están sujetas a cambios.

En la pestaña Dependabot alerts del repositorio se muestran todas las Dependabot alerts. Puedes ordenar la lista de alertas y hacer clic en ellas para obtener más detalles. También puedes descartar o volver a abrir alertas. Para obtener más información, consulta "Acerca de Dependabot alerts".

Visualización de Dependabot alerts

  1. En your enterprise, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad 1. En la barra lateral de seguridad, haga clic en Dependabot alerts . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, vea "Administración de la configuración de seguridad y análisis del repositorio".Dependabot alerts tab
  2. Haz clic en la alerta que quieres ver. Alerta seleccionada en la lista de alertas

Revisión y corrección de alertas

Es importante asegurarse de que todas las dependencias estén limpias de cualquier punto débil de seguridad. Cuando Dependabot detecta vulnerabilidades en las dependencias, debes evaluar el nivel de exposición del proyecto y determinar qué medidas de corrección se deben tomar para proteger la aplicación.

Si hay disponible una versión revisada de la dependencia, puedes generar una solicitud de incorporación de cambios de Dependabot para actualizar esta dependencia directamente desde una alerta de Dependabot. Si tienes habilitado Dependabot security updates, la solicitud de incorporación de cambios se puede vincular en la alerta Dependabot.

En los casos en los que una versión revisada no está disponible o no se puede actualizar a la versión segura, Dependabot comparte información adicional para ayudarte a determinar los pasos siguientes. Al hacer clic en para ver una alerta de Dependabot, puedes ver los detalles completos del aviso de seguridad para la dependencia, incluidas las funciones afectadas. Después, puedes comprobar si el código llama a las funciones afectadas. Esta información puede ayudarte a evaluar aún más el nivel de riesgo y determinar las soluciones alternativas o si puedes aceptar el riesgo que representa la asesoría de seguridad.

Corrección de dependencias vulnerables

  1. Consulta los detalles de una alerta. Para obtener más información, consulta "Visualización de Dependabot alerts" (más arriba).

  2. Puedes usar la información de la página para decidir a qué versión de la dependencia actualizar y crear una solicitud de incorporación de cambios para el manifiesto o bloquear el archivo en una versión segura.

  3. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

Descarte de Dependabot alerts

Sugerencia: Solo puedes descartar alertas abiertas.

Si programas un trabajo extenso para actualizar una dependencia o decides que no es necesario corregir una alerta, puedes descartar la alerta. Descartar las alertas que ya has evaluado facilita la evaluación de nuevas alertas a medida que aparecen.

  1. Consulta los detalles de una alerta. Para obtener más información, consulta "Visualización de dependencias vulnerables" (arriba).
  2. Selecciona la lista desplegable "Descartar" y haz clic en un motivo para descartar la alerta. Elección del motivo para descartar la alerta mediante la lista desplegable "Descartar"

Revisión de los registros de auditoría de Dependabot alerts

Cuando un miembro de la organización o empresa realiza una acción relacionada con Dependabot alerts, puedes revisar las acciones en el registro de auditoría. Para más información sobre el acceso al registro, consulta "Revisión del registro de auditoría de tu organización" y "Acceso al registro de auditoría de tu empresa."

Los eventos del registro de auditoría de Dependabot alerts incluyen detalles como quién realizó la acción, cuál fue la acción y cuándo se realizó la acción. Para obtener información sobre las acciones de Dependabot alerts, consulta la categoría repository_vulnerability_alert en "Revisar el registro de auditoría de tu organización" y "Eventos de registro de auditoría para tu empresa."