El software a menudo se basa en paquetes de varios orígenes, creando relaciones de dependencia que pueden introducir vulnerabilidades de seguridad sin saberlo. Cuando tu código depende de paquetes con vulnerabilidades de seguridad conocidas, te conviertes en un objetivo para los atacantes que buscan aprovecharse de tu sistema, pudiendo obtener acceso a tu código, datos, clientes o colaboradores. Dependabot alerts notifique las dependencias vulnerables para que pueda actualizar a versiones seguras y proteger el proyecto.
Cuando Dependabot envía alertas
Dependabot examina la rama predeterminada del repositorio y envía alertas cuando:
- Se agrega una nueva vulnerabilidad a la GitHub Advisory Database
- Cambia el gráfico de dependencias, por ejemplo, al insertar confirmaciones que actualizan paquetes o versiones.
Para conocer los ecosistemas admitidos, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.
Descripción de las alertas
Cuando GitHub detecta una dependencia vulnerable, aparece una Dependabot alerta en la pestaña Seguridad del repositorio y el gráfico de dependencias. Cada alerta incluye:
- Vínculo al archivo afectado
- Detalles sobre la vulnerabilidad y su gravedad
- Información sobre una versión fija (cuando está disponible)
Para obtener información sobre cómo ver y administrar alertas, consulte Visualización y actualización de alertas de Dependabot.
¿Quién puede habilitar alertas?
Los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para sus repositorios y organizaciones. Cuando se habilita, GitHub genera inmediatamente el gráfico de dependencias y crea alertas para las dependencias vulnerables que identifica. Los administradores del repositorio pueden conceder acceso a personas o equipos adicionales.
Consulta Configuración de alertas de Dependabot.
Propiedad y asignaciones de alertas
Los usuarios con acceso de escritura o superior pueden asignar Dependabot alerts a colaboradores, equipos del repositorio o Copilot para establecer una propiedad clara para la corrección de vulnerabilidades. Las asignaciones ayudan a realizar un seguimiento de quién es responsable de cada alerta y evitar que se pasen por alto las vulnerabilidades.
Cuando se asigna una alerta, el receptor recibe una notificación y la alerta muestra su nombre en la lista de alertas. Puede filtrar las alertas por parte del asignado para realizar un seguimiento del progreso. La asignación de una alerta a Copilot genera automáticamente una corrección y abre una solicitud de incorporación de cambios en borrador para revisión.
Para obtener información sobre cómo asignar alertas, consulte Visualización y actualización de alertas de Dependabot.
Funcionamiento de las notificaciones de alerta
De forma predeterminada, GitHub envía notificaciones por correo electrónico sobre las nuevas alertas a las personas que:
- Tener permisos de escritura, mantenimiento o administrador en un repositorio
- Está viendo el repositorio y ha habilitado las notificaciones para las alertas de seguridad o para toda la actividad en el repositorio
Puede invalidar el comportamiento predeterminado si elige el tipo de notificaciones que desea recibir o desactiva las notificaciones por completo en la página de configuración de las notificaciones de usuario en https://github.com/settings/notifications.
Independientemente de las preferencias de notificación, cuando Dependabot se habilita por primera vez, GitHub no envía notificaciones para todas las dependencias vulnerables que se encuentran en el repositorio. En su lugar, recibirá notificaciones para las nuevas dependencias vulnerables identificadas después de que Dependabot sea habilitado, si sus preferencias de notificación lo permiten.
Si le preocupa recibir demasiadas notificaciones, se recomienda aprovechar Evaluación de prioridades automática de Dependabot para descartar automáticamente las alertas de bajo riesgo. Las reglas se aplican antes de enviar las notificaciones de alerta, por lo que las alertas que se descartan automáticamente tras la creación no envían notificaciones. Consulta Acerca de Evaluación de prioridades automática de Dependabot.
Como alternativa, puede suscribirse al resumen semanal por correo electrónico, o incluso desactivar completamente las notificaciones mientras mantiene Dependabot alerts habilitado.
Limitaciones
Dependabot alerts tienen algunas limitaciones:
-
Las alertas no pueden detectar todos los problemas de seguridad. Revise siempre las dependencias y mantenga actualizados los archivos de manifiesto y bloqueo para una detección precisa.
-
Las nuevas vulnerabilidades pueden tardar tiempo en aparecer en las GitHub Advisory Database y activar alertas.
-
Solo los avisos revisados por GitHub activan alertas.
-
Dependabot no examina los repositorios archivados. -
Para GitHub Actions, las alertas solo se generan para las acciones que usan el control de versiones semántico, no el control de versiones SHA.
GitHub nunca divulga públicamente las vulnerabilidades de ningún repositorio.
integración Chat de GitHub Copilot
Con una GitHub Copilot para grandes empresas licencia, puede formular chat de Copilot preguntas sobre Dependabot alerts en los repositorios de su organización. Para más información, consulta Hacer preguntas a GitHub Copilot en GitHub.
Lectura adicional
-
[AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) -
[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)