Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
Versión del artículo: GitHub.com

Acerca de las alertas de seguridad para las dependencias vulnerables

GitHub hace un seguimiento de las vulnerabilidades informadas en ciertas dependencias y proporciona alertas de seguridad para los repositorios afectados.

En esta guía

Acerca de las vulnerabilidades de seguridad

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Dependiendo del nivel de gravedad y del modo en que tu proyecto usa la dependencia, las vulnerabilidades pueden ocasionar diversos problemas para tu proyecto u otras personas que lo usan. Puedes hacer un seguimiento y resolver las vulnerabilidades para ciertos tipos de dependencias en tu repositorio de GitHub.

Alertas y correcciones de seguridad automatizadas para las dependencias vulnerables

Cuando GitHub descubre o es notificado sobre una nueva vulnerabilidad, identificamos repositorios públicos (y repositorios privados que han aceptado la detección de vulnerabilidad) que usan la versión afectada de la dependencia, envía una alerta de seguridad a los mantenedores del repositorio y genera una corrección.

Cada alerta de seguridad incluye un nivel de gravedad, un enlace al archivo afectado en tu proyecto y un enlace a una solicitud de extracción que contiene una corrección de seguridad automatizada que resuelve la vulnerabilidad. Cuando esté disponible, la alerta incluirá más detalles acerca de la vulnerabilidad.

Puedes ver todas las alertas que afectan a un proyecto en particular en la pestaña Alertas del repositorio o en el gráfico de dependencias del repositorio. Para obtener información, consulta " Ver y actualizar las dependencias vulnerables en tu repositorio".

Enviamos alertas de seguridad para las personas con permisos de administrador en los repositorios por defecto afectados. GitHub nunca divulga públicamente las vulnerabilidades identificadas para ningún repositorio. También puedes activar alertas de seguridad para personas y equipos adicionales que trabajan en los repositorios que son propiedad de una organización. Para obtener más información, consulta "Administrar las alertas por dependencias vulnerables en los repositorios de tu organización".

Automated security fixes update vulnerable dependencies to the minimum version that resolves the vulnerability. Las correcciones de seguridad automatizadas son activadas automáticamente en los repositorios que usan el gráfico de dependencias y las alertas de seguridad, pero puedes elegir desactivar las solicitudes de extracción automáticas y, en su lugar, generar correcciones de seguridad de forma manual. Para obtener más información, consulta "Configurar correcciones de seguridad automatizadas".

GitHub detecta y alerta sobre las dependencias vulnerables en los repositorios públicos por defecto. Para recibir alertas de seguridad por dependencias vunerables en un repositorio privado, un propietario de o una persona con acceso de administrador al repositorio debe activar el gráfico de dependencias y las alertas de seguridad en el repositorio. Para obtener más información, consulta "Incluir o excluir uso de datos para tu repositorio privado".

Para obtener una lista de los idiomas admitidos que GitHub pueden detectar vulnerabilidades y dependencias, consulta "Detallar los paquetes de los que depende un repositorio".

Nota: Las características de seguridad de GitHub, como las alertas de seguridad, no afirman atrapar todas las vulnerabilidades. Aunque siempre estamos intentando actualizar nuestra base de datos de vulnerabilidades y alertarte con nuestra información más actualizada, no nos será posible atrapar todo o alertarte sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no son sustitutos de la revisión humana de cada dependencia por posibles vulnerabilidades o cualquier otra cuestión. Te recomendamos consultar con un servicio de seguridad o realizar una revisión de vulnerabilidad exhaustiva cuando sea necesario.

Fuentes de datos para alertas de seguridad

GitHub utiliza las siguientes fuentes para rastrear vulnerabilidades en los paquetes desde lenguajes compatibles:

Las alertas de seguridad creadas desde elementos en la lista de CVE contendrá un enlace al registro de CVE, donde puedes leer más información acerca de la vulnerabilidad, sus calificaciones del sistema CVSS y su nivel de gravedad cualitativa. El nivel de gravedad es uno de cuatro niveles posibles definidos en el Sistema de clasificación de vulnerabilidades comunes (CVSS), Sección 2.12:

Configurar notificaciones para alertas de notificaciones

Por defecto, recibirás un correo electrónico semanal resumiendo las alertas de seguridad para hasta 10 de tus repositorios. También puedes optar por recibir alertas de seguridad individualmente por correo electrónico, en un correo electrónico del resumen diario, en tus notificaciones web o en la interfaz de usuario de GitHub. Para obtener más información, consulta "Elegir el método de entrega para tus notificaciones".

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos