Acerca de las alertas Dependabot

          Dependabot alerts le ayudará a encontrar y corregir las dependencias vulnerables antes de que se conviertan en riesgos de seguridad.

¿Quién puede utilizar esta característica?

Dependabot alerts están disponibles para repositorios propiedad de la organización y del usuario.

En este artículo

El software a menudo se basa en paquetes de varios orígenes, creando relaciones de dependencia que pueden introducir vulnerabilidades de seguridad sin saberlo. Cuando tu código depende de paquetes con vulnerabilidades de seguridad conocidas, te conviertes en un objetivo para los atacantes que buscan aprovecharse de tu sistema, pudiendo obtener acceso a tu código, datos, clientes o colaboradores. Dependabot alerts notifique las dependencias vulnerables para que pueda actualizar a versiones seguras y proteger el proyecto.

Cuando Dependabot envía alertas

          Dependabot examina la rama predeterminada del repositorio y envía alertas cuando:
  • Se agrega una nueva vulnerabilidad a la GitHub Advisory Database
  • Cambia el gráfico de dependencias, por ejemplo, al insertar confirmaciones que actualizan paquetes o versiones.

Para conocer los ecosistemas admitidos, consulte Ecosistemas de paquetes que soportan el gráfico de dependencias.

Descripción de las alertas

Cuando GitHub detecta una dependencia vulnerable, aparece una Dependabot alerta en la pestaña del Security and quality repositorio y el gráfico de dependencias. Cada alerta incluye:

  • Vínculo al archivo afectado
  • Detalles sobre la vulnerabilidad y su gravedad
  • Información sobre una versión fija (cuando está disponible)

Para obtener información sobre cómo ver y administrar alertas, consulte Visualización y actualización de alertas de Dependabot.

¿Quién puede habilitar alertas?

Los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para sus repositorios y organizaciones. Cuando se habilita, GitHub genera inmediatamente el gráfico de dependencias y crea alertas para las dependencias vulnerables que identifica. Los administradores del repositorio pueden conceder acceso a personas o equipos adicionales.

Consulta Configuración de alertas de Dependabot.

Propiedad y asignaciones de alertas

Los usuarios con acceso de escritura o superior pueden asignar Dependabot alerts a colaboradores, equipos o agentes de IA del repositorio para establecer una asignación clara de responsabilidad en la corrección de vulnerabilidades. Las asignaciones ayudan a realizar un seguimiento de quién es responsable de cada alerta y evitar que se pasen por alto las vulnerabilidades.

Puede asignar alertas a los siguientes tipos de agentes:

          Copilot
          **, GitHubel agente de IA integrado.
  • Agentes de terceros, como Codex o Claude, cuando se habilitan en la configuración del repositorio.

Cuando se asigna una alerta a una persona o equipo, el receptor recibe una notificación y la alerta muestra su nombre en la lista de alertas. Puede filtrar las alertas por parte del asignado para realizar un seguimiento del progreso.

Cuando se asigna una alerta a un agente, el agente crea automáticamente una sesión y abre un pull request de borrador con la propuesta de una corrección. Si el agente no puede generar una corrección, permanece como responsable y puede hacer clic en Ver sesión en la línea de tiempo de alertas para revisar el registro del agente.

Nota:

La visibilidad de la asignación está actualmente limitada a la vista de alertas a nivel de repositorio. La información general de seguridad de toda la organización no muestra las asignaciones de alertas.

Cuando los asignados de una alerta cambian, GitHub envía un evento de webhook assignees_changed. Puede usar este evento para desencadenar flujos de trabajo o sincronizar datos de asignación con sistemas externos. Para más información, consulta Eventos y cargas de webhook.

Automatización e integraciones

Puede administrar asignaciones de alertas mediante programación mediante la API REST. Para más información, consulta Endpoints de la API REST para Dependabot alerts.

Para obtener información sobre cómo asignar alertas, consulte Visualización y actualización de alertas de Dependabot.

Funcionamiento de las notificaciones de alerta

De forma predeterminada, GitHub envía notificaciones por correo electrónico sobre las nuevas alertas a las personas que:

  • Tener permisos de escritura, mantenimiento o administrador en un repositorio
  • Está viendo el repositorio y ha habilitado las notificaciones para las alertas de seguridad o para toda la actividad en el repositorio

Puede invalidar el comportamiento predeterminado si elige el tipo de notificaciones que desea recibir o desactiva las notificaciones por completo en la página de configuración de las notificaciones de usuario en https://github.com/settings/notifications.

Independientemente de las preferencias de notificación, cuando Dependabot se habilita por primera vez, GitHub no envía notificaciones para todas las dependencias vulnerables que se encuentran en el repositorio. En su lugar, recibirá notificaciones para las nuevas dependencias vulnerables identificadas después de que Dependabot sea habilitado, si sus preferencias de notificación lo permiten.

Si le preocupa recibir demasiadas notificaciones, se recomienda aprovechar Evaluación de prioridades automática de Dependabot para descartar automáticamente las alertas de bajo riesgo. Las reglas se aplican antes de enviar las notificaciones de alerta, por lo que las alertas que se descartan automáticamente tras la creación no envían notificaciones. Consulta Acerca de Evaluación de prioridades automática de Dependabot.

Como alternativa, puede suscribirse al resumen semanal por correo electrónico, o incluso desactivar completamente las notificaciones mientras mantiene Dependabot alerts habilitado.

Limitaciones

          Dependabot alerts tienen algunas limitaciones:

  • Las alertas no pueden detectar todos los problemas de seguridad. Revise siempre las dependencias y mantenga actualizados los archivos de manifiesto y bloqueo para una detección precisa.

  • Las nuevas vulnerabilidades pueden tardar tiempo en aparecer en las GitHub Advisory Database y activar alertas.

  • Solo los avisos revisados por GitHub activan alertas.

  • Dependabot no examina los repositorios archivados.

  • Para GitHub Actions, las alertas solo se generan para las acciones que usan el control de versiones semántico, no el control de versiones SHA.

            GitHub nunca divulga públicamente las vulnerabilidades de ningún repositorio.

Integración con Copilot Chat de GitHub

Con una licencia de GitHub Copilot para grandes empresas, puede formular preguntas de Chat de Copiloto sobre Dependabot alerts en los repositorios de su organización. Para más información, consulta Hacer preguntas a GitHub Copilot en GitHub.

Lectura adicional