Configuración de actualizaciones de seguridad de Dependabot

Puedes utilizar Dependabot security updates o solicitudes de extracción manuales para actualizar fácilmente las dependencias vulnerables.

¿Quién puede utilizar esta característica?

Users with write access

En este artículo

Administrar las Dependabot security updates para tus repositorios

Puedes habilitar o deshabilitar Dependabot security updates para todos los repositorios aptos que pertenezcan a tu cuenta personal u organización. Para más información, consulta Administración de características de seguridad y análisis o Administrar la configuración de seguridad y análisis de su organización.

También puedes habilitar o inhabilitar Dependabot security updates para un repositorio individual.

Habilitar o inhabilitar las Dependabot security updates para un repositorio individual.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. A la derecha de "Dependabot security updates", haz clic en Enable para habilitar la característica o en Disable para deshabilitarla. En el caso de los repositorios públicos, el botón está deshabilitado si la característica siempre está habilitada.

Agrupar Dependabot security updates en un pull request

Para poder usar las actualizaciones de seguridad agrupadas, primero debe habilitar las siguientes características:

  •         **Gráfico de dependencias**. Para más información, consulta [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph).

  •         **Dependabot alerts**. Para más información, consulta [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts).

  •           **Dependabot security updates**. Para más información, consulta [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

Nota:

La primera vez que se habiliten las actualizaciones de seguridad agrupadas, Dependabot intentará inmediatamente crear solicitudes de cambios agrupadas. Es posible que observe que Dependabot cierra las solicitudes de cambios antiguas y abren otras nuevas.

Puede habilitar solicitudes de incorporación de cambios agrupadas para Dependabot security updates de una o ambas de las siguientes maneras.

  • Para agrupar tantas actualizaciones de seguridad disponibles como sea posible, en directorios y por ecosistema, habilite la agrupación en la configuración de "Advanced Security" para el repositorio, o en "Configuración global" en Advanced Security para su organización.
  • Para un control más granular de la agrupación, como la agrupación por nombre del paquete, dependencias de desarrollo y producción, nivel SemVer o entre varios directorios por ecosistema, agrega opciones de configuración al archivo de configuración dependabot.yml del repositorio.

Nota:

Si has configurado reglas de grupo para Dependabot security updates en un archivo dependabot.yml, todas las actualizaciones disponibles se agruparán según las reglas especificadas. Dependabot solo se agruparán entre esos directorios no configurados en dependabot.yml si también está habilitada la configuración de actualizaciones de seguridad agrupadas en el nivel de organización o repositorio.

Habilitar o inhabilitar las Dependabot security updates agrupadas para un repositorio individual.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Dependabot", a la derecha de "Grouped security updates", haz clic en Enable para habilitar la característica o en Disable para deshabilitarla.

Habilitar o inhabilitar las Dependabot security updates agrupadas para una organización.

Puede habilitar Dependabot security updates agrupadas en una única solicitud de incorporación de cambios. Para más información, consulta Configuración de seguridad global para su organización.

Invalidación del comportamiento predeterminado con un archivo de configuración

Puedes invalidar el comportamiento predeterminado de Dependabot security updates; para ello, agrega un archivo dependabot.yml al repositorio. Con un archivo dependabot.yml, puede tener un control más preciso de la agrupación e invalidar el comportamiento predeterminado de la configuración de Dependabot security updates.

Usa la opción groups con la clave applies-to: security-updates para crear conjuntos de dependencias (por administrador de paquetes), de modo que Dependabot abra una única solicitud de cambios para actualizar varias dependencias al mismo tiempo. Puede definir grupos por nombre de paquete (las claves patterns y exclude-patterns), tipo de dependencia (clave dependency-type) y SemVer (clave update-types).

Dependabot crea grupos en el orden en que aparecen en su archivo dependabot.yml. Si una actualización de dependencia puede pertenecer a más de un grupo, solo se asigna al primer grupo con el que coincide.

Si solo necesitas actualizaciones de seguridad y quieres excluir las actualizaciones de versión, puedes establecer open-pull-requests-limit en 0 para evitar las actualizaciones de versión de un package-ecosystem determinado.

Para obtener más información sobre las opciones de configuración disponibles para las actualizaciones de seguridad, consulta Personalización de solicitudes de incorporación de cambios para actualizaciones de seguridad de Dependabot.

YAML
# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates
#  - Defines a group by package name, for security updates for golang dependencies

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  - package-ecosystem: "gomod"
    groups:
      golang:
        applies-to: security-updates
        patterns:
          - "golang.org*"

Nota:

Para que Dependabot utilice esta configuración en las actualizaciones de seguridad, directory debe ser la ruta de acceso a los archivos de manifiesto y no debe especificar un valor target-branch.

Lectura adicional

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)

  •         [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)