Enterprise Server 3.21 actualmente está disponible como versión candidata para lanzamiento.

Actualizaciones de seguridad de Dependabot

Dependabot puede corregir las dependencias vulnerables para usted mediante la generación de solicitudes de incorporación de cambios con actualizaciones de seguridad.

¿Quién puede utilizar esta característica?

Dependabot security updates está disponible para los repositorios siguientes:

  • Todos los repositorios de GitHub Enterprise Server

En este artículo

Nota:

Para poder utilizar esta característica, el administrador del sitio debe configurar Dependabot updates para tu instancia de GitHub Enterprise Server. Para obtener más información, consulta Habilitación de Dependabot para la empresa.

Es posible que no puedas habilitar ni deshabilitar Dependabot updates si un propietario de empresa ha establecido una directiva a nivel empresarial. Para más información, consulta Aplicación de directivas de seguridad y análisis de código de la empresa.

Acerca de Dependabot security updates

Dependabot security updates facilitar la corrección de dependencias vulnerables en el repositorio.

Si habilitas Dependabot security updates, cuando se activa una alerta de Dependabot para una dependencia vulnerable en el gráfico de dependencias de tu repositorio, Dependabot intenta solucionarla automáticamente. Para obtener más información, vea Dependabot alerts y Configuración de actualizaciones de seguridad de Dependabot.

Puede agregar un archivo de configuración dependabot.yml a su repositorio para personalizar el comportamiento de Dependabot, incluida la programación de las actualizaciones, la configuración de las solicitudes de extracción y qué dependencias supervisar. Para obtener más información, vea Acerca del archivo dependabot.yml. Después, configure las opciones de este archivo para saber Dependabot cómo proteger las dependencias en las que se basa el repositorio.

Para más información sobre los ecosistemas compatibles con los repositorios privados, consulta Ecosistemas y repositorios admitidos por Dependabot.

Nota:

No hay ninguna interacción entre la configuración especificada en el dependabot.yml archivo y Dependabot las alertas de seguridad, aparte del hecho de que las alertas se cerrarán cuando se combinen las solicitudes de incorporación de cambios relacionadas generadas por Dependabot para las actualizaciones de seguridad.

Dependabot firma sus propias confirmaciones de manera predeterminada, incluso si la firma de confirmación no es un requisito para el repositorio. Para obtener más información sobre las confirmaciones de verificación, consulta Acerca de la verificación de firma de confirmación.

Nota:

Cuando Dependabot security updates están habilitados para un repositorio, Dependabot intentará abrir automáticamente solicitudes de incorporación de cambios para resolver cada alerta abierta de Dependabot que tenga una revisión disponible. Si prefieres personalizar para qué alertas Dependabot abre solicitudes de incorporación de cambios, deberás dejar Dependabot security updates deshabilitado y crear una regla de autoevaluación de prioridades. Para más información, consulta Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot.

GitHub puede enviar Dependabot alerts a repositorios afectados por una vulnerabilidad divulgada por un aviso de seguridad publicado GitHub recientemente. Para más información, consulta Exploración de los avisos de seguridad en GitHub Advisory Database.

Dependabot comprueba si es posible actualizar la dependencia vulnerable a una versión fija sin interrumpir el gráfico de dependencias para el repositorio. A continuación, Dependabot genera una solicitud de incorporación de cambios para actualizar la dependencia a la versión mínima que incluye la revisión y vincula la solicitud de incorporación de cambios a la Dependabot alerta, o notifica un error en la alerta. Para obtener más información, vea Errores de Dependabot.

La Dependabot security updates característica está disponible para repositorios en los que ha habilitado el gráfico de dependencias y Dependabot alerts. Verá una Dependabot alerta para cada dependencia vulnerable identificada en el gráfico de dependencias completo. Sin embargo, las actualizaciones de seguridad se activan únicamente para las dependencias que se especifican en un archivo de manifiesto o de bloqueo. Para obtener más información, vea Gráfica de dependencias.

Nota:

En el caso de npm, Dependabot generará una solicitud de extracción para actualizar una dependencia definida explícitamente a una versión segura, incluso si eso implica actualizar la dependencia principal o sus dependencias, o incluso eliminar una subdependencia que la dependencia principal ya no necesite. Para otros ecosistemas, Dependabot no puede actualizar una dependencia indirecta o transitiva si también requeriría una actualización de la dependencia primaria. Para obtener más información, vea Errores de Dependabot.

Puede habilitar una característica relacionada, Dependabot version updates, de modo que Dependabot genere solicitudes de incorporación de cambios para actualizar el manifiesto a la versión más reciente de la dependencia, siempre que detecte una dependencia obsoleta. Para obtener más información, vea Actualizaciones de versión del dependabot.

Cuando Dependabot genera solicitudes de incorporación de cambios, pueden ser para actualizaciones de seguridad o de versión:

  • Dependabot security updates son solicitudes de incorporación de cambios automatizadas que ayudan a actualizar las dependencias con vulnerabilidades conocidas.
  • Dependabot version updates son solicitudes de incorporación de cambios automatizadas que mantienen actualizadas las dependencias, incluso cuando no tienen ninguna vulnerabilidad. Para verificar el estado de las actualizaciones de versión, navega a la pestaña de perspectivas de tu repositorio, luego a la gráfica de dependencias, y luego al Dependabot.

Si habilitas Dependabot security updates, algunas partes de la configuración también pueden afectar a las solicitudes de extracción creadas para Dependabot version updates. Esto se debe a que algunas opciones de configuración son comunes a ambos tipos de actualizaciones. Para obtener más información, vea Personalización de solicitudes de incorporación de cambios para actualizaciones de seguridad de Dependabot.

Antes de habilitar Dependabot updates, debes configurar tu instancia de GitHub Enterprise Server para que use GitHub Actions con ejecutores autohospedados. GitHub Actions se requiere para Dependabot version updates y Dependabot security updates para ejecutar en GitHub. Para más información, consulta Habilitación de Dependabot para la empresa

Dependabot security updates puede corregir dependencias vulnerables en GitHub Actions. Cuando se habilitan las actualizaciones de seguridad, Dependabot generará automáticamente una solicitud de cambios para actualizar los datos vulnerables GitHub Actions usados en los flujos de trabajo a la versión con revisión mínima.

Acerca de las actualizaciones de seguridad agrupadas

Para reducir aún más el número de solicitudes de cambios que puede estar viendo, puede activar las actualizaciones de seguridad agrupadas para agrupar conjuntos de dependencias (por ecosistema de paquetes). Dependabot a continuación, genera una única solicitud de incorporación de cambios para actualizar tantas dependencias vulnerables como sea posible en el grupo para proteger las versiones al mismo tiempo.

En el caso de las actualizaciones de seguridad, Dependabot solo agrupará las dependencias de distintos directorios por ecosistema en determinadas condiciones y configuraciones. Dependabot no agrupará las dependencias de diferentes ecosistemas de paquetes y no agrupará las actualizaciones de seguridad con las actualizaciones de versión.

Puede habilitar solicitudes de incorporación de cambios agrupadas para Dependabot security updates en una o ambas de las siguientes maneras.

  • Para agrupar tantas actualizaciones de seguridad disponibles como sea posible, en todos los directorios y por ecosistema, habilite la agrupación en la configuración "Advanced Security" del repositorio o en "Configuración global" en Advanced Security para su organización.
  • Para un control más granular de la agrupación, como la agrupación por nombre del paquete, dependencias de desarrollo y producción, nivel SemVer o entre varios directorios por ecosistema, agrega opciones de configuración al archivo de configuración dependabot.yml del repositorio.

Nota:

Si has configurado reglas de grupo para Dependabot security updates en un archivo dependabot.yml, todas las actualizaciones disponibles se agruparán según las reglas especificadas. Dependabot solo se agruparán entre esos directorios no configurados en dependabot.yml si también está habilitada la configuración de actualizaciones de seguridad agrupadas en el nivel de organización o repositorio.

Para obtener más información, vea Configuración de actualizaciones de seguridad de Dependabot.

Acerca de la desactivación automática de Dependabot updates

Cuando los mantenedores de un repositorio dejan de interactuar con las solicitudes de cambios de Dependabot, Dependabot pausa temporalmente sus actualizaciones y te informa de ello; consulta Ya no se generan actualizaciones de solicitudes de incorporación de cambios de actualización de Dependabot.

Acerca de las notificaciones de actualizaciones de Dependabot seguridad

Puede filtrar sus notificaciones en GitHub para que se muestren Dependabot las actualizaciones de seguridad. Para obtener más información, vea Administrar las notificaciones en tu bandeja de entrada.