Visualización y actualización de alertas de Dependabot

Si GitHub detecta dependencias no seguras en su proyecto, podrá ver los detalles en la pestaña de alertas de Dependabot de su repositorio. Después, podrás actualizar tu proyecto para resolver o descartar la alerta.

¿Quién puede utilizar esta característica?

  • Administradores de repositorios, propietarios de la organización y personas con acceso de escritura o mantenimiento a un repositorio
  • Usuarios y equipos con acceso explícito. Consulta Concesión de acceso a la alerta de seguridad.

En este artículo

Nota:

Para poder utilizar esta característica, el administrador del sitio debe configurar Dependabot updates para tu instancia de GitHub Enterprise Server. Para obtener más información, consulta Habilitación de Dependabot para la empresa.

Es posible que no puedas habilitar ni deshabilitar Dependabot updates si un propietario de empresa ha establecido una directiva a nivel empresarial. Para más información, consulta Aplicación de directivas de seguridad y análisis de código de la empresa.

En la pestaña Dependabot alerts del repositorio se muestran todas las Dependabot alerts abiertas y cerradas y las correspondientes Dependabot security updates. Puedes filtrar las alertas por paquete, ecosistema o manifiesto. Puedes ordenar la lista de alertas y hacer clic en ellas para obtener más detalles. También puede descartar o volver a abrir alertas, ya sea una por una o seleccionando varias alertas a la vez. Para más información, consulta Acerca de las alertas Dependabot.

Acerca de las actualizaciones para las dependencias vulnerables en tu repositorio

Cada alerta del Dependabot tiene un identificador numérico único y la pestaña de Dependabot alerts lista una alerta por cada vulnerabilidad detectada. Las Dependabot alerts tradicionales agrupan vulnerabilidades por dependencia y generan una sola alerta por dependencia. Si navegas a una alerta tradicional del Dependabot, se te redirigirá a una pestaña de Dependabot alerts filtradas para este paquete.

Puedes filtrar y ordenar las Dependabot alerts con diversos filtros y opciones de ordenación disponibles en la interfaz de usuario. Para obtener más información, consulte Visualización y actualización de Dependabot alerts a continuación.

También puedes auditar las acciones realizadas en respuesta a las alertas de Dependabot. Para más información, consulta Auditoría de alertas de seguridad.

Visualización y priorización de Dependabot alerts

Puede ver, filtrar y ordenar Dependabot alerts para centrarse en las alertas más importantes.

De forma predeterminada, las alertas se ordenan por Lo más importante, lo que le ayuda a priorizar las correcciones en función de factores como el impacto potencial, la capacidad de acción y la relevancia. Esta priorización se mejora continuamente y tiene en cuenta las señales como la puntuación de CVSS, el ámbito de dependencia y si se detectan llamadas de función vulnerables.

Puedes ver todas las Dependabot alerts abiertas y cerradas y las Dependabot security updates correspondientes en la pestaña Dependabot alerts del repositorio.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Security. Si no puedes ver la pestaña "Security", selecciona el menú desplegable y, después, haz clic en Security.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral "Alertas de vulnerabilidad" de la Información general sobre seguridad, haga clic en Dependabot . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, consulta Administración de la configuración de seguridad y análisis para el repositorio.

    Captura de pantalla de la información general de seguridad, con la pestaña "Dependabot" resaltada con un contorno naranja oscuro.

  4. Opcionalmente, refinar la lista de alertas:

    • Use los menús desplegables de la parte superior de la lista para ordenar o filtrar alertas.

      Captura de pantalla del filtro y los menús de clasificación en la pestaña de Dependabot alerts.

    • Escriba directamente en la barra de búsqueda para filtrar las alertas, incluida la búsqueda de texto completo en los detalles de las alertas y los avisos de seguridad relacionados.

    • Haga clic en una etiqueta en una alerta para filtrar automáticamente la lista por esa etiqueta.

    • Para identificar alertas que afectan a las dependencias de desarrollo, filtre por el scope:development filtro o busque alertas etiquetadas como "Desarrollo". Esto puede ayudarle a priorizar las alertas que afectan primero a las dependencias de producción.

      Captura de pantalla que muestra la etiqueta "Desarrollo" asignada a una alerta en la lista de alertas.

  5. Haga clic en una alerta para ver sus detalles. Las alertas para las dependencias con ámbito de desarrollo incluyen una etiqueta "Desarrollo" en la sección "Etiquetas" de la página de detalles de la alerta.

    Captura de pantalla en la que se muestra la sección "Etiquetas" en la página de detalles de la alerta

  6. Opcionalmente, para sugerir una mejora en el aviso de seguridad relacionado, en el lado derecho de la página de detalles de la alerta, haz clic en Sugerir mejoras para este aviso en GitHub Advisory Database . Consulta Edición de avisos de seguridad en la base de avisos de GitHub.

Sugerencias para priorizar alertas

  • Use el criterio de ordenación más importante para centrarse en las alertas con el mayor impacto potencial.
  • Dé prioridad a las alertas que afectan a las dependencias de producción en lugar de las dependencias de desarrollo.
  • Utilice Evaluación de prioridades automática de Dependabot para priorizar o administrar automáticamente las alertas. Consulta Acerca de Evaluación de prioridades automática de Dependabot.

Para obtener más información sobre los ecosistemas compatibles y los archivos de manifiesto para el ámbito de dependencia, consulte Ecosistemas y manifiestos admitidos para el ámbito de dependencia.

Para obtener una lista completa de los filtros disponibles, consulte Filtros de alertas de Dependabot.

Para recuperar alertas mediante programación, consulte Endpoints de la API REST para Dependabot alerts.

Revisión y corrección de alertas

Puede revisar los detalles de una alerta Dependabot para comprender la vulnerabilidad y cómo corregirla.

Corrección de dependencias vulnerables

  1. Consulta los detalles de una alerta. Para obtener más información, consulte Visualización y actualización de Dependabot alerts (arriba).

  2. Si tienesDependabot security updates habilitado, puede haber un vínculo a una solicitud de incorporación de cambios que corregirá la dependencia. Como alternativa, puedes hacer clic en Crear actualización de seguridad de Dependabot en la parte superior de la página de detalles de la alerta para crear una solicitud de incorporación de cambios.

    Captura de pantalla de una alerta de Dependabot con el botón "Crear actualización de seguridad de Dependabot" resaltado con un contorno naranja oscuro.

  3. Opcionalmente, si no usas Dependabot security updates, puedes usar la información de la página para decidir a qué versión de la dependencia actualizar y crear una solicitud de incorporación de cambios para actualizar la dependencia a una versión segura.

  4. Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona la solicitud de extracción.

    Cada solicitud de incorporación de cambios que envía Dependabot incluye información sobre los comandos que puede utilizar para controlar Dependabot. Para más información, consulta Administrar las solicitudes de extracción para las actualizaciones de dependencia.

Descarte de Dependabot alerts

Nota:

Solo puedes descartar alertas abiertas.

Si programas un trabajo extenso para actualizar una dependencia o decides que no es necesario corregir una alerta, puedes descartar la alerta. Descartar las alertas que ya has evaluado facilita la evaluación de nuevas alertas a medida que aparecen.

  1.        [Visualización y priorización de Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (arriba).

  2. Seleccione la lista desplegable "Descartar" y haga clic en un motivo para descartar la alerta. Las alertas descartadas sin corregir se pueden volver a abrir más adelante.

  3. Opcionalmente, agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes recuperar o establecer un comentario mediante GraphQL API. El comentario está incluido en el campo dismissComment. Para obtener más información, consulta Objetos en la documentación de la API de GraphQL.

    Captura de pantalla de una página de alerta de Dependabot, con la lista desplegable "Descartar" y la opción para agregar un comentario de descarte resaltado en color naranja.

  4. Haz clic en Descartar alerta.

Descartar varias alertas al mismo tiempo

  1. Visualización de Dependabot alerts abiertas.

  2. Opcionalmente, filtra la lista de alertas seleccionando un menú desplegable y, después, haz clic en el filtro que quieres aplicar. También puedes teclear filtros en la barra de búsqueda.

  3. A la izquierda de cada título de alerta, selecciona las alertas que quieres descartar.

           ![Captura de pantalla de la vista Dependabot alerts. Se seleccionan dos alertas y estas casillas se resaltan con un contorno naranja.](/assets/images/help/graphs/select-multiple-alerts.png)

  4. Opcionalmente, en la parte superior de la lista de alertas, selecciona todas las alertas de la página.

           ![Captura de pantalla de la sección de cabecera de la vista Dependabot alerts. La casilla "Seleccionar todo" está resaltada con un contorno naranja oscuro.](/assets/images/help/graphs/select-all-alerts.png)

  5. Selecciona la lista desplegable "Descartar alertas" y haz clic en un motivo para descartar las alertas.

           ![Captura de pantalla de una lista de alertas. Debajo del botón "Descartar alertas", se expande una lista desplegable con la etiqueta "Seleccionar un motivo para descartar".](/assets/images/help/graphs/dismiss-multiple-alerts.png)

Visualización y actualización de alertas cerradas

Puedes ver todas las alertas abiertas y puedes volver a abrir las alertas que se han descartado anteriormente. Las alertas cerradas que ya se han corregido no se pueden volver a abrir.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Security. Si no puedes ver la pestaña "Security", selecciona el menú desplegable y, después, haz clic en Security.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral "Alertas de vulnerabilidad" de la Información general sobre seguridad, haga clic en Dependabot . Si falta esta opción, significa que no tiene acceso a las alertas de seguridad y se le debe proporcionar. Para más información, consulta Administración de la configuración de seguridad y análisis para el repositorio.

    Captura de pantalla de la información general de seguridad, con la pestaña "Dependabot" resaltada con un contorno naranja oscuro.

  4. Para ver las alertas cerradas, haga clic en Closed.

    Captura de pantalla en la que se muestra la lista de Dependabot alerts con la pestaña "Cerradas" resaltada con un contorno naranja oscuro.

  5. Haga clic en la alerta que le gustaría ver o actualizar.

  6. Si la alerta se ha descartado y desea volver a abrirla, también puede hacer clic en Reopen. Las alertas que ya se han corregido no se pueden volver a abrir.

    Captura de pantalla en la que se muestra una alerta de Dependabot cerrada. El botón "Volver a abrir" está resaltado con un contorno naranja oscuro.

Apertura de nuevo de varias alertas al mismo tiempo

  1. Visualización de Dependabot alerts cerradas.

  2. A la izquierda de cada título de alerta, seleccione las alertas que desea volver a abrir haciendo clic en la casilla adyacente a cada alerta.

  3. Opcionalmente, en la parte superior de la lista de alertas, selecciona todas las alertas cerradas de la página.

           ![Captura de pantalla de las alertas en la pestaña "Cerrado". La casilla "Seleccionar todo" está resaltada con un contorno naranja oscuro.](/assets/images/help/graphs/select-all-closed-alerts.png)

  4. Haz clic en Volver a abrir para volver a abrir las alertas. Las alertas que ya se han corregido no se pueden volver a abrir.

Revisión de los registros de auditoría de Dependabot alerts

Cuando un miembro de la organización o empresa realiza una acción relacionada con Dependabot alerts, puedes revisar las acciones en el registro de auditoría. Para obtener más información sobre cómo acceder al registro, consulte Revisar el registro de auditoría de tu organización y Acceso al registro de auditoría de la empresa.

Captura de pantalla del registro de auditoría que muestra las alertas de Dependabot.

Los eventos del registro de auditoría de Dependabot alerts incluyen detalles como quién realizó la acción, cuál fue la acción y cuándo se realizó la acción. El evento también incluye un vínculo a la propia alerta. Cuando un miembro de la organización descarta una alerta, el evento muestra el motivo del descarte y el comentario. Para obtener información sobre las acciones de Dependabot alerts, consulte la categoría repository_vulnerability_alert en Eventos de registro de auditoría para tu organización y Eventos de registro de auditoría de la empresa.