GitHub AE es una versión limitada en este momento.

Acerca de la seguridad de la cadena de suministro

En este artículo

GitHub AE te ayuda a proteger la cadena de suministro, desde comprender las dependencias de tu entorno a conocer las vulnerabilidades de dichas dependencias .

Acerca de la seguridad de la cadena de suministro en GitHub

Con el uso acelerado del código abierto, la mayoría de los proyectos dependen de cientos de dependencias de código abierto. Esto plantea un problema de seguridad: ¿qué ocurre si las dependencias que usa son vulnerables? Podría poner a los usuarios en riesgo de un ataque de cadena de suministro. Una de las cosas más importantes que puedes hacer para proteger la cadena de suministro es revisar las dependencias vulnerables.

Las dependencias se agregan directamente a la cadena de suministro cuando se especifican en un archivo de manifiesto o en un archivo de bloqueo. Las dependencias también se pueden incluir de forma transitiva, es decir, incluso si no especifica una dependencia concreta, pero se usa en una dependencia propia, también dependerá de esa dependencia.

GitHub AE ofrece diversas características para ayudarte a comprender las dependencias del entorno y conocer las vulnerabilidades de esas dependencias.

Las características de la cadena de suministro en GitHub AE son las siguientes:

  • Gráfica de dependencias
  • Revisión de dependencias
  • Dependabot alerts

El gráfico de dependencias es fundamental para la seguridad de la cadena de suministro. En el gráfico de dependencias se identifican todas las dependencias ascendentes y las dependencias descendentes públicas de un repositorio o paquete. En el gráfico de dependencias del repositorio puede ver las dependencias del repositorio y algunas de sus propiedades, como la información de vulnerabilidad.

Otras características de la cadena de suministro de GitHub dependen de la información proporcionada por el gráfico de dependencias.

  • La revisión de dependencias usa el gráfico de dependencias para identificar los cambios de dependencias y ayudarle a comprender el impacto en la seguridad de estos cambios al revisar solicitudes de incorporación de cambios.
  • Dependabot realiza referencias cruzadas entre los datos de dependencia proporcionados por el gráfico de dependencias y la lista de avisos publicados en GitHub Advisory Database, examina las dependencias y genera Dependabot alerts cuando se detecta una vulnerabilidad posible .

Introducción a las características

Qué es el gráfico de dependencias

Para generar el gráfico de dependencias, GitHub examina las dependencias explícitas de un repositorio declaradas en el manifiesto y los archivos de bloqueo. Cuando se habilita, el gráfico de dependencias analiza automáticamente todos los archivos de manifiesto de paquete conocidos del repositorio y los usa para construir un gráfico con versiones y nombres de dependencia conocidos.

  • El gráfico de dependencias incluye información sobre las dependencias directas y las transitivas.

  • El gráfico de dependencias se actualiza automáticamente al insertar una confirmación en GitHub que cambia o agrega un archivo de manifiesto o de bloqueo admitido a la rama predeterminada y cuando alguien inserta un cambio en el repositorio de una de las dependencias.

  • Para ver el gráfico de dependencias, abre la página principal del repositorio en GitHub AE y ve a la pestaña Información.

Para más información sobre el gráfico de dependencias, consulta "Acerca del gráfico de dependencias".

Qué es la revisión de dependencias

La revisión de dependencias ayuda a los revisores y colaboradores a comprender los cambios de dependencia y su impacto en la seguridad en cada solicitud de incorporación de cambios.

  • La revisión de dependencias indica qué dependencias se han agregado, quitado o actualizado en una solicitud de incorporación de cambios. Puede usar las fechas de lanzamiento, la popularidad de las dependencias y la información de vulnerabilidad para ayudarle a decidir si quiere aceptar el cambio.
  • Puede ver la revisión de dependencias de una solicitud de incorporación de cambios si muestra la diferencia enriquecida en la pestaña Archivos cambiados.

Para más información sobre la revisión de dependencias, consulta "Acerca de la revisión de dependencias".

Qué es Dependabot

Dependabot mantiene actualizadas las dependencias para lo cual te informa de cualquier vulnerabilidad de seguridad en ellas para que puedas actualizar esa dependencia..

GitHub Actions no es necesario para que las Dependabot alerts se ejecuten en GitHub AE.

Qué son las alertas de Dependabot

Dependabot alerts resalta los repositorios afectados por una vulnerabilidad recién detectada en función del gráfico de dependencias y GitHub Advisory Database, que contiene los avisos para las vulnerabilidades conocidas.

  • Dependabot realiza un examen para detectar las dependencias no seguras y envía Dependabot alerts cuando:
  • Dependabot alerts se muestran en el gráfico de dependencias del repositorio. La alerta incluye información sobre una versión fija.

Para obtener más información, vea «Acerca de las alertas Dependabot».

Disponibilidad de características

  • Gráfico de dependencias y Dependabot alerts : no están habilitados de forma predeterminada. El propietario de la empresa configura las dos características en un nivel empresarial. Para más información, consulta "Habilitación de Dependabot para la empresa".
  • Revisión de dependencias: disponible cuando se habilita el gráfico de dependencias para tu empresa y se habilita Advanced Security para la organización o el repositorio. Para obtener más información, vea «Acerca de GitHub Advanced Security».