Las Dependabot alerts indican que el código depende de un paquete que no es seguro. A menudo, el software se crea mediante paquetes de código abierto de una gran variedad de orígenes. Las relaciones complejas entre estas dependencias y la facilidad con la que los actores malintencionados pueden insertar malware en código ascendente, significa que es posible que no sepa usar dependencias que tienen errores de seguridad, también conocidos como vulnerabilidades.
Si el código depende de un paquete con una vulnerabilidad de seguridad, esto puede causar una serie de problemas al proyecto o a las personas que lo usan. El uso de un paquete vulnerable lo convierte en un destino flexible para usuarios malintencionados que buscan vulnerar la seguridad de su sistema. Por ejemplo, pueden buscar obtener acceso al código y a los datos de los clientes o colaboradores. Debe actualizar a una versión segura del paquete lo antes posible. Si el código usa software malicioso, debe reemplazar el paquete por una alternativa segura.
Dependabot no genera Dependabot alerts para software malicioso. Para obtener más información, vea «Acerca de GitHub Advisory Database».
Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta «Guía de inicio rápido de Dependabot».
Detección de dependencias no seguras
Dependabot lleva a cabo un examen de la rama de valor predeterminado de su repositorio para detectar las dependencias no seguras y envía Dependabot alerts cuando:
-
Se agrega un aviso nuevo a GitHub Advisory Database. Para más información, consulta Exploración de los avisos de seguridad en GitHub Advisory Database.
Note
Solo los avisos revisados por GitHub desencadenarán Dependabot alerts.
-
Cambia el gráfico de dependencias de un repositorio. Por ejemplo, cuando un colaborador inserta una confirmación para cambiar los paquetes o las versiones de las que depende , o cuando el código de una de las dependencias cambia. Para más información, consulta Acerca del gráfico de dependencias.
Note
Dependabot no examina repositorios archivados.
Además, GitHub puede revisar cualquier dependencia que se agregue, actualice o quite en una solicitud de incorporación de cambios que se haga en la rama predeterminada de un repositorio, así como marcar cualquier cambio que pudiera disminuir la seguridad del proyecto. Esto le permite detectar y tratar dependencias vulnerables antes de que lleguen a su código base, no después. Para obtener más información, vea «Revisar los cambios de las dependencias en una solicitud de cambios».
Como las Dependabot alerts dependen del gráfico de dependencias, los ecosistemas admitidos por Dependabot alerts son los mismos que los admitidos por el gráfico de dependencias. Para ver una lista de estos ecosistemas, consulta Ecosistemas de paquetes admitidos para el gráfico de dependencias.
Note
Es importante mantener actualizados los archivos de manifiesto y de bloqueo. Si el gráfico de dependencias no refleja con exactitud tus versiones y dependencias actuales, es posible que pases por alto las alertas de las dependencias no seguras que usas. También podrías obtener alertas de las dependencias que ya no utilizas.
Dependabot solo creará Dependabot alerts para los datos de GitHub Actions que usan el control de versiones semántico. No recibirás alertas para una acción vulnerable que use el control de versiones SHA. Si usas GitHub Actions con el control de versiones SHA, se recomienda habilitar Dependabot version updates para el repositorio u organización para mantener las acciones que usas actualizadas a las versiones más recientes.
Configuración de Dependabot alerts
GitHub detecta dependencias vulnerables en repositorios públicos y muestra el gráfico de dependencias, pero no genera Dependabot alerts de forma predeterminada. Los propietarios de repositorios o las personas con acceso administrativo pueden habilitar las Dependabot alerts para los repositorios públicos. Los propietarios de los repositorios privados o las personas con acceso administrativo puede habilitar las Dependabot alerts si habilitan la gráfica de dependencias y las Dependabot alerts para sus repositorios.
También puedes habilitar o deshabilitar Dependabot alerts para todos los repositorios que pertenezcan a tu cuenta de usuario u organización. Para más información, consulta Configuración de alertas de Dependabot.
Para información sobre los requisitos de acceso de las acciones relacionadas con Dependabot alerts, consulta Roles de repositorio para una organización.
GitHub empieza a generar el gráfico de dependencias de inmediato y genera alertas de dependencias no seguras en cuanto las identifica. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Para más información, consulta Administración de la configuración de seguridad y análisis para el repositorio.
Cuando GitHub identifica una dependencia vulnerable, generamos una alerta Dependabot y la mostramos en la pestaña Seguridad del repositorio y en el gráfico de dependencias del repositorio. La alerta incluye un enlace al archivo afectado en el proyecto e información acerca de la versión arreglada.
GitHub también puede notificar a los mantenedores de repositorios afectados que hay nuevas alertas según sus preferencias de notificación. La primera vez que Dependabot se habilita, GitHub no envía notificaciones a todas las dependencias vulnerables que se encuentran en el repositorio, solo a las nuevas dependencias vulnerables identificadas después de que se habilite Dependabot. Para más información, consulta Configuración de notificaciones para alertas de Dependabot.
En los repositorios donde Dependabot security updates están habilitadas, la alerta también puede contener un vínculo a una solicitud de incorporación de cambios para actualizar el manifiesto o el archivo de bloqueo a la versión mínima que resuelve la vulnerabilidad. Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot».
Además, puedes usar las reglas de alerta de Dependabot para evaluar automáticamente las alertas, por lo que puede ignorar automáticamente las alertas y especificar para qué alertas quieres que Dependabot abra solicitudes de cambios. Para obtener información sobre los distintos tipos de reglas de evaluación de prioridades automáticas y si los repositorios son aptos, consulte "Acerca de Evaluación de prioridades automática de Dependabot".
Warning
Las características de seguridad de GitHub no notifican la captura de todas las vulnerabilidades. Mantenemos GitHub Advisory Database activamente y generamos alertas con la información más actualizada. Aun así, no podemos detectarlo todo ni informarle sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no sustituyen la revisión humana de posibles vulnerabilidades u otras incidencias en cada dependencia, y se recomienda consultar con un servicio de seguridad o realizar una revisión exhaustiva de las dependencias cuando sea necesario.
Acceder a las Dependabot alerts
Puede ver todas las alertas que afectan a un proyecto determinado en la pestaña Seguridad del repositorio o en el gráfico de dependencias del repositorio. Para más información, consulta Visualización y actualización de alertas de Dependabot.
Predeterminadamente, notificamos a las personas con permisos administrativos, de mantenimiento o de escritura en los repositorios afectados sobre las Dependabot alerts nuevas. GitHub nunca divulga públicamente las dependencias no seguras de un repositorio. También puedes hacer que Dependabot alerts sean visibles para otras personas o equipos que trabajan con repositorios de tu propiedad o para los que tienes permisos. Para más información, consulta Administración de la configuración de seguridad y análisis para el repositorio.
Para recibir notificaciones sobre Dependabot alerts en los repositorios, tendrá que observarlos y suscribirse para recibir notificaciones de "Toda la actividad", o bien configurar valores personalizados para incluir "Alertas de seguridad". Para obtener más información, vea «Configuración de notificaciones». Puedes elegir el método de entrega de las notificaciones, así como la frecuencia en las que se te envían. Para más información, consulta Configuración de notificaciones para alertas de Dependabot.
También puedes ver todas las Dependabot alerts que se corresponden con un aviso concreto en GitHub Advisory Database. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».