Procedimientos recomendados para mantener las dependencias
Mantenerse al día con las dependencias es fundamental para mantener un entorno de software seguro. Estas son algunas recomendaciones:
**Adopción de herramientas de administración de dependencias centradas en la seguridad**
-
Usa y configura herramientas que examinen las dependencias para detectar vulnerabilidades y sugerir actualizaciones automáticamente.
-
Asegúrate de que estas herramientas estén integradas en el pipeline de CI/CD para la monitorización y actualización continuas.
-
Configura tus procesos para seguir el versionado semántico y evitar cambios disruptivos.
**Realizar exámenes y auditorías de vulnerabilidades normales** -
Programa auditorías de dependencias periódicas y exámenes de dependencias para identificar dependencias obsoletas o vulnerables.
**Automatización de la administración de revisiones de seguridad** -
Configura las herramientas de administración de dependencias para aplicar automáticamente revisiones de seguridad.
-
Configura solicitudes de incorporación de cambios automatizadas para actualizaciones críticas de seguridad para que se puedan evaluar y fusionar rápidamente.
**Aplicar políticas sobre el uso de dependencias** -
Implementa directivas que apliquen el uso de versiones seguras de dependencias.
-
Usa herramientas que puedan bloquear la fusión de pull requests si introducen vulnerabilidades o no actualizan las dependencias vulnerables.
**Integración de pruebas de seguridad en CI/CD** -
Incorpora herramientas de pruebas de seguridad en el flujo de CI/CD.
-
Asegúrate de que las actualizaciones de dependencia se prueben automáticamente para el cumplimiento de la seguridad.
**Uso de archivos de bloqueo y anclaje de dependencias** -
Use archivos de bloqueo (por ejemplo,
package-lock.json,yarn.lock,Pipfile.lock) para anclar dependencias a versiones seguras conocidas. -
Actualiza y revisa periódicamente estos archivos de bloqueo para asegurarte de que las dependencias estén actualizadas sin problemas de seguridad no deseados.
**Supervisión de avisos de seguridad** -
Suscríbete a avisos de seguridad para los lenguajes y marcos que uses.
-
Automatiza la integración de avisos en el flujo de trabajo de desarrollo para mantenerte informado de las nuevas vulnerabilidades.
-
Ten en cuenta los paneles proporcionados por las herramientas de administración de dependencias.
-
Ten en cuenta las actualizaciones críticas, especialmente las revisiones de seguridad y priorízalas.
**Control de versiones y administración de cambios** -
Realiza un seguimiento de los cambios de dependencia en el control de versiones (por ejemplo, a través de solicitudes de incorporación de cambios automatizadas).
-
Realiza revisiones de código periódicas para asegurarte de que las actualizaciones no introduzcan nuevas vulnerabilidades.
**Aprendizaje y concienciación** -
Informa a los equipos de desarrollo y operaciones sobre la importancia de mantener las dependencias seguras y actualizadas.
-
Proporciona formación sobre cómo usar las herramientas de seguridad y administración de dependencias de forma eficaz.
**Plan de respuesta de vulnerabilidades** -
Tener un plan de respuesta a incidentes claro para cuando se identifican vulnerabilidades en las dependencias.
-
Asegúrate de que el equipo sepa cómo solucionar y corregir rápidamente los problemas de seguridad.
Al seguir estos procedimientos, puedes reducir significativamente el riesgo que suponen las dependencias obsoletas y vulnerables y mantener un entorno más seguro.
Cómo puede ayudar GitHub
GitHub proporciona características de seguridad para ayudarle a mantener las dependencias:
**Gráfico de dependencias**: realiza un seguimiento de las dependencias del proyecto e identifica las vulnerabilidades. Consulta [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph).
**Revisión de dependencias**: detecta dependencias no seguras en las solicitudes de incorporación de cambios antes de combinarlas. Además, Acción de revisión de dependencias puede fallar en las comprobaciones y, cuando las reglas de protección de rama lo requieren, evitar que se combinen las solicitudes de incorporación de cambios que introducen vulnerabilidades. Consulta [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review).
**Dependabot**: analiza automáticamente en busca de vulnerabilidades, crea alertas y abre solicitudes de incorporación de cambios para actualizar dependencias vulnerables u obsoletas. Puede agrupar varias actualizaciones en solicitudes de incorporación de cambios únicas para simplificar las revisiones. Consulta [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).
**GitHub Advisory Database**: proporciona avisos de seguridad que potencian la detección de vulnerabilidades de Dependabot. Consulte [AUTOTITLE](/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/about-the-github-advisory-database).
Información general de seguridad: muestra la posición de seguridad de la organización con paneles para repositorios en riesgo, tendencias de alertas y estado de habilitación de características. Consulta Información general sobre seguridad.
Para obtener instrucciones sobre la cadena de suministro de un extremo a otro, consulte Protección de la cadena de suministro de un extremo a otro.