Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
GitHub AE está actualmente en un lanzamiento limitado. Por favor, contacta a nuestro equipo de ventas para conocer más sobre esto.

Acerca de la seguridad de la cadena de suministro

GitHub AE helps you secure your supply chain, from understanding the dependencies in your environment, to knowing about vulnerabilities in those dependencies.

About supply chain security at GitHub

With the accelerated use of open source, most projects depend on hundreds of open-source dependencies. This poses a security problem: what if the dependencies you're using are vulnerable? You could be putting your users at risk of a supply chain attack. One of the most important things you can do to protect your supply chain is to patch your vulnerable dependencies.

You add dependencies directly to your supply chain when you specify them in a manifest file or a lockfile. Dependencies can also be included transitively, that is, even if you don’t specify a particular dependency, but a dependency of yours uses it, then you’re also dependent on that dependency.

GitHub AE ofrece un rango de características que te ayudan a entender las dependencias en tu ambiente y conocer las vulnerabilidades en dichas dependencias.

Las características de la cadena de suministro en GitHub AE son:

  • Gráfica de dependencias
  • Revisión de dependencias
  • Las alertas del dependabot

La gráfica de dependencias es central para la seguridad de la cadena de suministro. The dependency graph identifies all upstream dependencies and public downstream dependents of a repository or package. You can see your repository’s dependencies and some of their properties, like vulnerability information, on the dependency graph for the repository.

Other supply chain features on GitHub rely on the information provided by the dependency graph.

  • Dependency review uses the dependency graph to identify dependency changes and help you understand the security impact of these changes when you review pull requests.
  • El Dependabot hace referencias cruzadas de los datos de las dependencias que proporciona la gráfica de dependencias con la lista de asesorías publicada en la GitHub Advisory Database, escanea tus dependencias y genera Las alertas del dependabot cuando se detecta una vulnerabilidad potencial.

Feature overview

What is the dependency graph

To generate the dependency graph, GitHub looks at a repository’s explicit dependencies declared in the manifest and lockfiles. When enabled, the dependency graph automatically parses all known package manifest files in the repository, and uses this to construct a graph with known dependency names and versions.

  • The dependency graph includes information on your direct dependencies and transitive dependencies.
  • The dependency graph is automatically updated when you push a commit to GitHub that changes or adds a supported manifest or lock file to the default branch, and when anyone pushes a change to the repository of one of your dependencies.
  • You can see the dependency graph by opening the repository's main page on GitHub AE, and navigating to the Insights tab.

For more information about the dependency graph, see "About the dependency graph."

What is dependency review

Dependency review helps reviewers and contributors understand dependency changes and their security impact in every pull request.

  • Dependency review tells you which dependencies were added, removed, or updated, in a pull request. You can use the release dates, popularity of dependencies, and vulnerability information to help you decide whether to accept the change.
  • You can see the dependency review for a pull request by showing the rich diff on the Files Changed tab.

Para obtener más información sobre la revisión de dependencias, consulta la sección "Acerca de la revisión de dependencias".

What is Dependabot

Dependabot mantiene actualizadas tus dependencias informándote de cualquier vulnerabilidad de seguridad en ellas, y abre solicitudes de cambios automáticamente para actualizarlas a la siguiente versión segura disponible cuando se activa una alerta del Dependabot o a la versión más actual cuando se publica un lanzamiento.

What are Dependabot alerts

Las alertas del dependabot highlight repositories affected by a newly discovered vulnerability based on the dependency graph and the GitHub Advisory Database, which contains advisories for known vulnerabilities.

  • Dependabot performs a scan to detect insecure dependencies and sends Las alertas del dependabot when:

    • Se sincronizan los datos de las asesorías nuevas en tu empresa cada hora desde GitHub.com. Para obtener más información sobre los datos de la asesoría, consulta la sección "Buscar asesorías de seguridad en la GitHub Advisory Database" en la documentación de GitHub.com.

    • The dependency graph for the repository changes.

  • Las alertas del dependabot are displayed in the repository's dependency graph. La alerta incluye información sobre una versión corregida.

Para obtener más información, consulta la sección "Acerca deLas alertas del dependabot".

Feature availability

  • Dependency graph and Las alertas del dependabot—not enabled by default. Both features are configured at an enterprise level by the enterprise owner. Para obtener más información, consulta la sección "Habilitar el Dependabot para tu empresa".
  • Dependency review—available when dependency graph is enabled for tu empresa and Advanced Security is enabled for the organization or repository. Para obtener más información, consulta la sección "Acerca de la GitHub Advanced Security".