Configuración de actualizaciones de seguridad de Dependabot

Administración Dependabot security updates de los repositorios

Puede habilitar o deshabilitar Dependabot security updates para todos los repositorios aptos que pertenecen a su cuenta personal o a su organización. Para más información, consulta Administración de características de seguridad y análisis o Administrar la configuración de seguridad y análisis de su organización.

También puede habilitar o deshabilitar Dependabot security updates para un repositorio individual.

Habilitación o deshabilitación Dependabot security updates de un repositorio individual

1. En GitHub, navegue hasta la página principal del repositorio.

2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

   

3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

4. A la derecha de "Dependabot actualizaciones de seguridad", haga clic en Habilitar para habilitar la característica o Deshabilitar para deshabilitarla.

Agrupando Dependabot security updates en una única solicitud de extracción

Para poder usar las actualizaciones de seguridad agrupadas, primero debe habilitar las siguientes características:

•         **Gráfico de dependencias**. Para más información, consulta [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph).
  

•         **
          Dependabot alerts
          **. Para más información, consulta [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts).
  

•         **
          Dependabot security updates
          **. Para más información, consulta [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).
  

Puede habilitar solicitudes de incorporación de cambios agrupadas para Dependabot security updates de una o ambas de las siguientes maneras.

• Para agrupar tantas actualizaciones de seguridad disponibles como sea posible, en directorios y por ecosistema, habilite la agrupación en la configuración de "Advanced Security" para el repositorio, o en "Configuración global" en Advanced Security para su organización.
• Para un control más granular de la agrupación, como la agrupación por nombre del paquete, dependencias de desarrollo y producción, nivel SemVer o entre varios directorios por ecosistema, agrega opciones de configuración al archivo de configuración dependabot.yml del repositorio.

Activar o desactivar Dependabot security updates de forma agrupada en un repositorio individual

1. En GitHub, navegue hasta la página principal del repositorio.

2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

   

3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

4. En "Dependabot", a la derecha de "Actualizaciones de seguridad agrupadas", haga clic en Habilitar para habilitar la característica o Deshabilitar para deshabilitarla.

Activación o desactivación de funciones agrupadas Dependabot security updates para una organización

           Puede habilitar el agrupamiento Dependabot security updates en una única solicitud de incorporación de cambios. Para más información, consulta [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates).

Invalidación del comportamiento predeterminado con un archivo de configuración

Puede invalidar el comportamiento predeterminado de Dependabot security updates agregando un dependabot.yml archivo al repositorio. Con un dependabot.yml archivo, puede tener un control más granular de la agrupación e invalidar el comportamiento predeterminado de la Dependabot security updates configuración.

Use la groups opción con la applies-to: security-updates clave para crear conjuntos de dependencias (por administrador de paquetes), de modo que Dependabot abra una única solicitud de incorporación de cambios para actualizar varias dependencias al mismo tiempo. Puede definir grupos por nombre de paquete (las claves patterns y exclude-patterns), tipo de dependencia (clave dependency-type) y SemVer (clave update-types).

Dependabot crea grupos en el orden en que aparecen en su archivo dependabot.yml. Si una actualización de dependencia puede pertenecer a más de un grupo, solo se asigna al primer grupo con el que coincide.

Si solo necesitas actualizaciones de seguridad y quieres excluir las actualizaciones de versión, puedes establecer open-pull-requests-limit en 0 para evitar las actualizaciones de versión de un package-ecosystem determinado.

Para obtener más información sobre las opciones de configuración disponibles para las actualizaciones de seguridad, consulta Personalización de solicitudes de incorporación de cambios para actualizaciones de seguridad de Dependabot.

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Defines a group by package name, for security updates for golang dependencies

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  - package-ecosystem: "gomod"
    directories:
      - "**/*"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 0
    groups:
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Defines a group by package name, for security updates for golang dependencies

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  - package-ecosystem: "gomod"
    directories:
      - "**/*"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 0
    groups:
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"

Lectura adicional

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)
  

•         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)