Acerca de las alertas Dependabot

          Dependabot alerts le ayudará a encontrar y corregir las dependencias vulnerables antes de que se conviertan en riesgos de seguridad.

¿Quién puede utilizar esta característica?

Dependabot alerts están disponibles para repositorios propiedad de la organización y del usuario.

En este artículo

El software a menudo se basa en paquetes de varios orígenes, creando relaciones de dependencia que pueden introducir vulnerabilidades de seguridad sin saberlo. Cuando tu código depende de paquetes con vulnerabilidades de seguridad conocidas, te conviertes en un objetivo para los atacantes que buscan aprovecharse de tu sistema, pudiendo obtener acceso a tu código, datos, clientes o colaboradores. Dependabot alerts notifique las dependencias vulnerables para que pueda actualizar a versiones seguras y proteger el proyecto.

Cuando Dependabot envía alertas

          Dependabot examina la rama predeterminada del repositorio y envía alertas cuando:

Para conocer los ecosistemas admitidos, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.

Descripción de las alertas

Cuando GitHub detecta una dependencia vulnerable, aparece una Dependabot alerta en la pestaña Seguridad del repositorio y el gráfico de dependencias. Cada alerta incluye:

  • Vínculo al archivo afectado
  • Detalles sobre la vulnerabilidad y su gravedad
  • Información sobre una versión fija (cuando está disponible)

Para obtener información sobre cómo ver y administrar alertas, consulte Visualización y actualización de alertas de Dependabot.

¿Quién puede habilitar alertas?

Los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para sus repositorios. Cuando se habilita, GitHub genera inmediatamente el gráfico de dependencias y crea alertas para las dependencias vulnerables que identifica.

Los propietarios de empresa deben habilitar Dependabot alerts para tu instancia de GitHub Enterprise Server antes de poder usar esta característica. Para más información, consulta Habilitación de Dependabot para la empresa.

Consulta Configuración de alertas de Dependabot.

Funcionamiento de las notificaciones de alerta

De forma predeterminada, GitHub envía notificaciones por correo electrónico sobre las nuevas alertas a las personas que:

  • Tener permisos de escritura, mantenimiento o administrador en un repositorio
  • Está viendo el repositorio y ha habilitado las notificaciones para las alertas de seguridad o para toda la actividad en el repositorio

Independientemente de las preferencias de notificación, cuando Dependabot se habilita por primera vez, GitHub no envía notificaciones para todas las dependencias vulnerables que se encuentran en el repositorio. En su lugar, recibirá notificaciones para las nuevas dependencias vulnerables identificadas después de que Dependabot sea habilitado, si sus preferencias de notificación lo permiten.

Si le preocupa recibir demasiadas notificaciones, se recomienda aprovechar Evaluación de prioridades automática de Dependabot para descartar automáticamente las alertas de bajo riesgo. Las reglas se aplican antes de enviar las notificaciones de alerta, por lo que las alertas que se descartan automáticamente tras la creación no envían notificaciones. Consulta Acerca de Evaluación de prioridades automática de Dependabot.

Como alternativa, puede suscribirse al resumen semanal por correo electrónico, o incluso desactivar completamente las notificaciones mientras mantiene Dependabot alerts habilitado.

Limitaciones

          Dependabot alerts tienen algunas limitaciones:

  • Las alertas no pueden detectar todos los problemas de seguridad. Revise siempre las dependencias y mantenga actualizados los archivos de manifiesto y bloqueo para una detección precisa.

  • Las nuevas vulnerabilidades pueden tardar tiempo en aparecer en las GitHub Advisory Database y activar alertas.

  • Solo los avisos revisados por GitHub activan alertas.

  •         Dependabot no examina los repositorios archivados.

  •         Dependabot no genera alertas para malware.

  • Para GitHub Actions, las alertas solo se generan para las acciones que usan el control de versiones semántico, no el control de versiones SHA.

Lectura adicional

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)