Guía de inicio rápido de Dependabot

Busque y corrija las dependencias vulnerables en las que se basa con Dependabot.

¿Quién puede utilizar esta característica?

Dependabot alerts están disponibles para repositorios propiedad de la organización y del usuario.

En este artículo

Acerca de Dependabot

Esta guía de inicio rápido lo acompaña en la configuración y habilitación de Dependabot, la visualización de Dependabot alerts y la actualización de su repositorio para utilizar una versión segura de la dependencia.

Dependabot consta de tres características diferentes que te ayudan a administrar las dependencias:

  • Dependabot alerts: te informa sobre las vulnerabilidades de las dependencias que usas en el repositorio.
  • Dependabot security updates: genera solicitudes de cambios de forma automática para actualizar las dependencias que usas y que tienen vulnerabilidades de seguridad conocidas.
  • Dependabot version updates: genera solicitudes de cambios de forma automática para mantener actualizadas tus dependencias.

Prerrequisitos

Para este propósito, vamos a usar un repositorio de demostración para ilustrar cómo Dependabot encuentra vulnerabilidades en las dependencias, donde puede observar Dependabot alerts en GitHub, y cómo puede explorar, corregir o descartar estas alertas.

Para empezar, deberá bifurcar el repositorio de demo.

  1. Vaya a https://github.com/dependabot/demo.
  2. En la parte superior de la página, a la derecha, haga clic en Bifurcar.
  3. Seleccione un propietario (puede seleccionar su GitHub cuenta personal) y escriba un nombre de repositorio. Para más información sobre bifurcar repositorios, consulta Bifurcar un repositorio.
  4. Haz clic en Crear bifurcación.

Habilitar Dependabot para tu repositorio

Debes seguir los pasos siguientes en el repositorio que has bifurcado en Requisitos previos.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Dependabot", haga clic en Habilitar para Dependabot alerts, Dependabot security updatesy Dependabot version updates.

  5. Si hace clic en Habilitar para Dependabot version updates, puede editar el archivo de configuración predeterminado dependabot.yml que GitHub crea automáticamente en el /.github directorio del repositorio. Para habilitar Dependabot version updates para su repositorio, se suele configurar este archivo para que se adapte a sus necesidades, editando el archivo predeterminado y aplicando sus cambios. Puedes hacer referencia al fragmento de código proporcionado en Configuración de las actualizaciones de versiones de Dependabot para obtener un ejemplo.

Nota:

Si el gráfico de dependencias aún no está habilitado para el repositorio, GitHub lo habilitará automáticamente al habilitar Dependabot.

Para obtener más información sobre cómo configurar cada una de estas Dependabot características, consulte Configuración de alertas de Dependabot, Configuración de actualizaciones de seguridad de Dependabot y Configuración de las actualizaciones de versiones de Dependabot.

Visualización Dependabot alerts del repositorio

Si Dependabot alerts están habilitados para un repositorio, puede ver Dependabot alerts en la Security and quality pestaña del repositorio. Puede usar el repositorio bifurcado en el que ha habilitado Dependabot alerts en la sección anterior.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Security. Si no puedes ver la pestaña "Security", selecciona el menú desplegable y, después, haz clic en Security.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la sección "Resultados" de la barra lateral, seleccione el Dependabot menú desplegable y, a continuación, haga clic en Vulnerabilidades.

  4. Revisa las alertas abiertas en la página Dependabot alerts. De forma predeterminada, la página muestra la pestaña Abrir y muestra las alertas abiertas. (Podrás ver las alertas cerradas haciendo clic en Cerrado).

    Captura de pantalla que muestra la lista de alertas de Dependabot para el repositorio de demostración.

    Puede filtrar Dependabot alerts en la lista mediante una variedad de filtros o etiquetas. Para más información, consulta Visualización y actualización de alertas de Dependabot. También puede usar Evaluación de prioridades automática de Dependabot para filtrar las alertas de falsos positivos o aquellas alertas que no le interesen. Para más información, consulta Acerca de Evaluación de prioridades automática de Dependabot.

  5. Haga clic en la alerta "Inserción de comandos en lodash" en el archivo javascript/package-lock.json. La página de detalles de la alerta mostrará la siguiente información (ten en cuenta que es posible que alguna información no se aplique a todas las alertas):

    • Indica si Dependabot ha creado una solicitud de incorporación de cambios que corregirá la vulnerabilidad. Para revisar la actualización de seguridad sugerida, haz clic en Revisar actualización de seguridad.
    • Paquete implicado
    • Versiones afectadas
    • Versión revisada
    • Breve descripción de la vulnerabilidad

    Captura de pantalla de la página detallada de una alerta en el repositorio de demostración, en la que se muestra la información principal.

  6. Opcionalmente, también puedes explorar la información en el lado derecho de la página. Es posible que parte de la información que se muestra en la captura de pantalla no se aplique a todas las alertas.

    • Severity
    • Métricas de CVSS: usamos niveles de CVSS para asignar niveles de gravedad. Para más información, consulta Acerca de GitHub Advisory Database.
    • Etiquetas
    • Puntos débiles: lista de enumeración de puntos débiles (CWE) relacionados con la vulnerabilidad, si procede
    • Id. de CVE: identificador de CVE único para la vulnerabilidad, si procede
    • Identificador de GHSA: identificador único del aviso correspondiente en GitHub Advisory Database. Para más información, consulta Acerca de GitHub Advisory Database.
    • Opción para acceder al asesoramiento en GitHub Advisory Database
    • Opción para ver todos los repositorios afectados por esta vulnerabilidad
    • Opción para sugerir mejoras para este aviso en GitHub Advisory Database

    Captura de pantalla de la página detallada de una alerta en el repositorio de demostración, en la que se muestra la información que se muestra en el lado derecho de la página.

Para obtener más información sobre cómo ver, priorizar y ordenar Dependabot alerts, vea Visualización y actualización de alertas de Dependabot.

Corrección o descarte de una Dependabot alerta

Puede corregir o descartar Dependabot alerts en GitHub. ** Continuemos utilizando el repositorio bifurcado como ejemplo y la alerta "Inserción de comandos en lodash" descrita en la sección anterior.

  1. Vaya a la pestaña Dependabot alerts del repositorio. Para obtener más información, consulte la sección Visualización Dependabot alerts del repositorio anterior.
  2. Haga clic en una alerta.
  3. Haga clic en la alerta "Inserción de comandos en lodash" en el archivo javascript/package-lock.json.
  4. Revisa la alerta. Ustedes pueden:

    • Revisa la actualización de seguridad sugerida haciendo clic en Revisión de la actualización de seguridad. Se abrirá la solicitud de incorporación de cambios generada por Dependabot con la corrección de seguridad.

      Captura de pantalla de la solicitud de incorporación de cambios generada por Dependabot para corregir la vulnerabilidad de seguridad resaltada por la alerta seleccionada.

      • En la descripción de la solicitud de incorporación de cambios, puedes hacer clic en Confirmaciones para explorar las confirmaciones incluidas en la solicitud de incorporación de cambios.
      • También puede hacer clic en Dependabot comandos y opciones para obtener información sobre los comandos que puede usar para interactuar con la solicitud de incorporación de cambios.
      • Cuando estés listo para actualizar tu dependencia y resolver la vulnerabilidad, fusiona el pull request.

    • Si decides que quieres descartar la alerta

      • Vuelve a la página de detalles de la alerta.

      • En la esquina superior derecha, haga clic en Descartar alerta.

        Captura de pantalla de la página de detalles de la alerta con el botón Descartar alerta, las opciones del menú desplegable y el cuadro de comentarios de descarte resaltados en color naranja.

      • Selecciona un motivo para descartar la alerta.

      • Opcionalmente, agrega un comentario de descarte. El comentario de descarte se agregará a la línea de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y los informes.

      • Haz clic en Descartar alerta. La alerta ya no aparecerá en la pestaña Abierto de la lista de alertas y podrás verla en la pestaña Cerrado.

Para obtener más información sobre cómo revisar y actualizar Dependabot alerts, vea Visualización y actualización de alertas de Dependabot.

Solución de problemas

Es posible que tengas que realizar alguna solución de problemas si: * Dependabot se bloquea la creación de una solicitud de incorporación de cambios para corregir una alerta o

  • La información informada por Dependabot no es lo que esperabas.

Para más información, consulta Errores de Dependabot y Detección de dependencias vulnerables, respectivamente.

Pasos siguientes

Para obtener más información sobre cómo Dependabot configurar las actualizaciones, vea Configuración de actualizaciones de seguridad de Dependabot y Configuración de las actualizaciones de versiones de Dependabot.

Para obtener más información sobre la configuración de Dependabot para una organización, consulte Configuración de alertas de Dependabot.

Para obtener más información sobre cómo visualizar los pull requests abiertos por Dependabot, consulte Administrar las solicitudes de extracción para las actualizaciones de dependencia.

Para obtener más información sobre los avisos de seguridad que contribuyen a Dependabot alerts, consulte Exploración de los avisos de seguridad en GitHub Advisory Database.

Para obtener más información sobre cómo configurar notificaciones sobre Dependabot alerts, vea Configuración de notificaciones para alertas de Dependabot.