Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
Versión del artículo: GitHub.com

Acerca de las alertas para las dependencias vulnerables

GitHub envía Alertas del Dependabot de GitHub cuando detectamos vulnerabilidades que afectan tu repositorio.

En este artículo

Acerca de las dependencias vulnerables

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.

Cuando tu código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas para tu proyecto o para las personas que lo utilizan.

Detección de dependencias vulnerables

El Dependabot de GitHub detecta las dependencias vulnerables y manda alertas del Dependabot cuando:

  • Se agrega una vulnerabilidad nueva a la GitHub Advisory Database. Para obtener más información, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database".
  • Se procesan los datos de las vulnerabilidades nuevas que se toman de WhiteSource.
  • La gráfica de dependencias para los cambios a un repositorio. For example, when a contributor pushes a commit to change the packages or versions it depends on, or when the code of one of the dependencies changes. Para obtener más información, consulta la sección "Acerca de la gráfica de dependencias".

Para encontrar una lista de ecosistemas para las cuales GitHub puede detectar vulnerabilidades y dependencias, consulta la sección ecosistemas de paquete compatibles".

Nota: Es importante mantener actualizados tu manifiesto y tus archivos bloqueados. Si la gráfica de dependencias no refleja con exactitud tus versiones y dependencias actuales, entonces podrías dejar pasar las alertas de las dependencias vulnerables que utilizas. También podrías obtener alertas de las dependencias que ya no utilizas.

Alertas del Dependabot de GitHub para dependencias vulnerables

El GitHub detecta y alerta a los usuarios sobre las dependencias vulnerables en los repositorios públicos predeterminadamente. Los propietarios de los repositorios privados o las personas con acceso administrativo puede habilitar las Alertas del Dependabot de GitHub si habilitan la gráfica de dependencias y las Alertas del Dependabot de GitHub para sus repositorios.

You can also enable or disable Dependabot de GitHub alerts for all repositories owned by your user account or organization. For more information, see "Managing security and analysis settings for your user account" or "Managing security and analysis settings for your organization."

GitHub comienza a generar la gráfica de dependencias inmediatamente y envía alertas para cualquier dependencia vulnerable tan pronto como las identifique. La gráfica se llena en cuestión de minutos habitualmente, pero esto puede tardar más para los repositorios que tengan muchas dependencias. Para obtener más información, consulta la sección "Administrar la configuración de uso de datos para tu repositorio privado".

Cuando GitHub identifica una dependencia vulnerable, enviamos una alerta de a los mantenedores de los repositorios afectados con los detalles sobre la vulnerabilidad, un enlace para el archivo afectado en el proyecto y la información acerca de la versión corregida. Para los repositorios que habilitaron las Actualizaciones de seguridad del Dependabot de GitHub, esta alerta también contiene un enlace a la solicitud de extracción para actualizar el manifiesto o archivo bloqueado a la versión mínima que resuelve la vulnerabilidad. Para obtener más información, consulta la sección "Configurar las Actualizaciones de seguridad del Dependabot de GitHub".

Nota: Las características de seguridad de GitHub no aseguran que se detectarán todas las vulnerabilidades. Aunque siempre estamos intentando actualizar nuestra base de datos de vulnerabilidades y alertarte con nuestra información más actualizada, no nos será posible atrapar todo o alertarte sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no son sustitutos de la revisión humana de cada dependencia por posibles vulnerabilidades o cualquier otra cuestión. Te recomendamos consultar con un servicio de seguridad o realizar una revisión de vulnerabilidad exhaustiva cuando sea necesario.

Acceso a las Alertas de

Puedes ver todas las alertas que afectan a un proyecto en particular en la pestaña de seguridad del repositorio o en la gráfica de dependencias del repositorio. Para obtener más información, consulta la sección "Ver y actualizar las dependencias vulnerables en tu repositorio".

Enviamos alertas de predeterminadamente a las personas con permisos adminsitrativos en los repositorios afectados. GitHub nunca divulga públicamente las vulnerabilidades identificadas para algún repositorio. También puedes habilitar las Alertas de para más personas o equipos que estén trabajando en los repositorios que pertenecen a la organización. Para obtener más información, consulta "Administrar las alertas por dependencias vulnerables en los repositorios de tu organización".

Configurar las notificaciones para las alertas de seguridad del Alertas del Dependabot de GitHub

Predeterminadamente, recibiráslas Alertas del Dependabot de GitHub por correo electrónico, agrupadas por la vulnerabilidad específica. También puedes elegir recibir lasAlertas del Dependabot de GitHub en un mensaje de correo electrónico semanal, el cual resuma las alertas de hasta 10 de tus repositorios, en tus notificaciones web, o en la interface de usuario de GitHub. Para obtener más información, consulta la sección "Configurar notificaciones".

Las notificaciones de correo electrónico para Alertas del Dependabot de GitHub que afecten a uno o más repositorios incluyen el campo de encabezado X-GitHub-Severity. Puedes utilizar el valor del campo de encabezado X-GitHub-Severity para filtrar las notificaciones de correo electrónico para Alertas del Dependabot de GitHub. Para obtener más información, consulta la sección "Configurar las notificaciones".

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos