👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Learn more on the GitHub blog.


Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Condigurar las actualizaciones de seguridad del Dependabot de GitHub

Puedes utilizar las Actualizaciones de seguridad del Dependabot de GitHub o las solicitudes de extracción manuales para actualizar fácilmente las dependencias vulnerables.

En este artículo

Acerca de Actualizaciones de seguridad del Dependabot de GitHub

Puedes habilitar las Actualizaciones de seguridad del Dependabot de GitHub para cualquier repositorio que utilice las alertas y la gráfica de dependencias. Puedes inhabilitar las Actualizaciones de seguridad del Dependabot de GitHub para un repositorio individual o para todos los repositorios que pertenezcan a tu organización o cuenta de usuario.

Cuando recibes una alerta de seguridad acerca de una dependencia vulnerable en tu repositorio, puedes resolver la vulnerabilidad si utilizas una actualización de seguridad en una solicitud de extracción que se haya generado mediante el Dependabot de GitHub. Las actualizaciones de seguridad se encuentran disponibles en los repositorios que utilizan la gráfica de dependencias. Por defecto, Dependabot de GitHub automáticamente crea una solicitud de extracción en tu repositorio para actualizar la dependencia vulnerable a la mínima versión segura posible que se necesita para evitar la vulnerabilidad. Si lo prefieres, puedes inhabilitar las solicitudes de extracción automáticas y crear manualmente solicitudes de extracción para actualizar dependencias solo cuando lo desees.

Las actualizaciones de seguridad contienen todo lo que necesitas para revisar y fusionar un arreglo propuesto para tu proyecto de manera segura y rápida, incluyendo la información acerca de la vulnerabilidad, tal como las notas de lanzamiento, entradas de bitácora de cambios, y detalles de confirmaciones.

El Dependabot de GitHub abre las actualizaciones de seguridad. La App GitHub del Dependabot de GitHub se instala automáticamente en cada repositorio en donde se habilitan las actualizaciones de seguridad.

Las personas con acceso a las alertas de seguridad de tu repositorio verán un enlace a las alertas de seguridad pertinentes, si bien otras personas con acceso a la solicitud de extracción no podrán ver qué vulnerabilidad resuelve la solicitud de extracción.

Cuando fusionas una solicitud de extracción que contiene una actualización de seguridad, la alerta de seguridad correspondiente se marca como resuelta para tu repositorio.

Nota: Las Actualizaciones de seguridad del Dependabot de GitHub solo resolverán vulnerabilidades de seguridad en tus dependencias. Las actualizaciones de seguridad no se crean para resolver vulnerabilidades en registros privados o en paquetes hospedados en repositorios privados.

Repositorios compatibles

GitHub habilita automáticamente las Actualizaciones de seguridad del Dependabot de GitHub para todo repositorio que cumpla con estos requisitos.

Nota: Para los repositorios que se crearon antes de noviembre de 2019, GitHub ha habilitado automáticamente las Actualizaciones de seguridad del Dependabot de GitHub si el repositorio cumple con los siguientes criterios y ha recibido por lo menos una carga desde el 23 de mayo de 2019.

RequisitoMás información
Que el repositorio no sea una bifrucación"Acerca de las bifurcaciones"
Que el repositorio no esté archivado"Archivar repositorios"
Que el repositorio sea público, o que sea privado y hayas habilitado un análisis de solo lectura por GitHub, gráfica de dependencias y alertas de vulnerabilidades en la configuración del mismo"Optar por utilizar datos para tu repositorio privado"
Que el repositorio contenga un archivo de manifiesto de dependencias de un ecosistema de paquete que sea compatible con GitHub"Ecosistemas de paquete compatibles"
Las Actualizaciones de seguridad del Dependabot de GitHub no se han inhabilitado para el repositorio"Administrar las Actualizaciones de seguridad del Dependabot de GitHub para tu repositorio"
Que el repositorio no esté utilizando ya una integración para administración de dependencias"Acerca de las integraciones"

Si las actualizaciones de seguridad no se habilitaron en tu repositorio y no sabes por qué, puedes contactar a soporte.

Acerca de las puntuaciones de compatibilidad

Las Actualizaciones de seguridad del Dependabot de GitHub también incluyen puntuaciones de compatibilidad para que sepas si el actualizar una vulnerabilidad podría causar cambios sustanciales en tu proyecto. Revisamos las pruebas de IC que pasaron previamente en repositorios públicos en donde generamos alguna actualización de seguridad para aprender si la actualización puede causar que las pruebas fallen. Una puntuación de compatibilidad de la actualización es el porcentaje de ejecuciones de CI que se aprobaron al actualizar entre las versiones relevantes de la dependencia.

Administrar las Actualizaciones de seguridad del Dependabot de GitHub para tu repositorio

Puedes habilitar o inhabilitar las Actualizaciones de seguridad del Dependabot de GitHub para un repositorio individual.

Las Actualizaciones de seguridad del Dependabot de GitHub requieren de configuraciones de repositorio específicas. Para obtener más información, consulta la sección "Repositorios compatibles".

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral de seguridad, da clic en Alertas del Dependabot.
    Pestaña de alertas del Dependabot
  4. Arriba del listado de alertas, utiliza el menú desplegable y selecciona o deselecciona la opción Actualizaciones de seguridad del dependabot.
    Menú desplegable con la opción de habilitar las Actualizaciones de seguridad del Dependabot de GitHub

Administrar las Actualizaciones de seguridad del Dependabot de GitHub para tu cuenta de usuario

Puedes inhabilitar las Actualizaciones de seguridad del Dependabot de GitHub para todos los repositorios que pertenezcan a tu cuenta de usuario. Si lo haces, aún podrás habilitar las Actualizaciones de seguridad del Dependabot de GitHub para los repositorios individuales que pertenezcan a tu cuenta de usuario.

  1. En la esquina superior derecha de cualquier página, da clic en tu foto de perfil y después da clic en Configuración.
    Icono Settings (Parámetros) en la barra de usuario
  2. En la barra lateral de configuración de usuario, da clic en Seguridad.
    Barra lateral de configuración de seguridad
  3. Debajo de las "actualizaciones de seguridad del Dependabot", selecciona o deselecciona Optar por salir de las actualizaciones de seguridad del Dependabot.
    Casilla para optar por salir de las actualizaciones de seguridad del Dependabot
  4. Haz clic en Save (Guardar).

Administrar las Actualizaciones de seguridad del Dependabot de GitHub para tu organización

Los propietarios de organización pueden inhabilitar las Actualizaciones de seguridad del Dependabot de GitHub para todos los repositorios que pertenezcan a la misma. Si lo haces, cualquiera con permisos administrativos en un repositorio individual que pertenezca a la organización aún podrá habilitar las Actualizaciones de seguridad del Dependabot de GitHub en dicho repositorio.

  1. En la esquina superior derecha de GitHub, da clic en tu foto de perfil, posteriormente, da clic en Tu perfil.
    Foto de perfil
  2. En la parte izquierda de tu página de perfil, debajo de "Organizaciones", da clic en el icono de tu organización.
    iconos de organización
  3. Debajo de tu nombre de organización, da clic en Configuración.
    Botón de configuración de organización
  4. En la barra lateral de configuración de la organización, da clic en Seguridad.
    Configuración de seguridad
  5. Debajo de las "actualizaciones de seguridad del Dependabot", selecciona o deselecciona Optar por salir de las actualizaciones de seguridad del Dependabot.
    Casilla para optar por salir de las actualizaciones de seguridad del Dependabot
  6. Haz clic en Save (Guardar).

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos