Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Acerca de las alertas de seguridad para las dependencias vulnerables

GitHub sends security alerts when we detect vulnerabilities affecting your repository.

En este artículo

Acerca de las vulnerabilidades de seguridad

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Depending on the severity level and the way your project uses the dependency, vulnerabilities can cause a range of problems for your project or the people who use it. Puedes hacer un seguimiento y resolver las vulnerabilidades para ciertos tipos de dependencias en tu repositorio de GitHub.

If GitHub detects a vulnerability from the GitHub Advisory Database or WhiteSource in one of the dependencies in your repository's dependency graph, we'll send you a security alert. For more information about the GitHub Advisory Database, see "Browsing security vulnerabilities in the GitHub Advisory Database."

Alerts and automated security updates for vulnerable dependencies

When a new vulnerability is added to the GitHub Advisory Database, we identify public repositories (and private repositories that have opted in to vulnerability detection) that use the affected version of the dependency, send a security alert to repository maintainers, and generate an automated security update.

Each security alert includes a severity level, a link to the affected file in your project, and a link to a pull request containing an automated security update that resolves the vulnerability. Cuando esté disponible, la alerta incluirá más detalles acerca de la vulnerabilidad.

Puedes ver todas las alertas que afectan a un proyecto en particular en la pestaña Alertas del repositorio o en el gráfico de dependencias del repositorio. Para obtener información, consulta " Ver y actualizar las dependencias vulnerables en tu repositorio".

Enviamos alertas de seguridad para las personas con permisos de administrador en los repositorios por defecto afectados. GitHub nunca divulga públicamente las vulnerabilidades identificadas para ningún repositorio. También puedes activar alertas de seguridad para personas y equipos adicionales que trabajan en los repositorios que son propiedad de una organización. Para obtener más información, consulta "Administrar las alertas por dependencias vulnerables en los repositorios de tu organización".

Automated security updates update vulnerable dependencies to the minimum version that resolves the vulnerability. Automated security updates are automatically enabled in repositories that use the dependency graph and security alerts, but you can choose to disable automatic pull requests and generate security updates manually instead. For more information, see "Configuring automated security updates."

GitHub detecta y alerta sobre las dependencias vulnerables en los repositorios públicos por defecto. Para recibir alertas de seguridad por dependencias vunerables en un repositorio privado, un propietario de o una persona con acceso de administrador al repositorio debe activar el gráfico de dependencias y las alertas de seguridad en el repositorio. Para obtener más información, consulta "Incluir o excluir uso de datos para tu repositorio privado".

Para obtener una lista de los idiomas admitidos que GitHub pueden detectar vulnerabilidades y dependencias, consulta "Detallar los paquetes de los que depende un repositorio".

Nota: Las características de seguridad de GitHub, como las alertas de seguridad, no afirman atrapar todas las vulnerabilidades. Aunque siempre estamos intentando actualizar nuestra base de datos de vulnerabilidades y alertarte con nuestra información más actualizada, no nos será posible atrapar todo o alertarte sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no son sustitutos de la revisión humana de cada dependencia por posibles vulnerabilidades o cualquier otra cuestión. Te recomendamos consultar con un servicio de seguridad o realizar una revisión de vulnerabilidad exhaustiva cuando sea necesario.

Configurar notificaciones para alertas de notificaciones

Por defecto, recibirás un correo electrónico semanal resumiendo las alertas de seguridad para hasta 10 de tus repositorios. También puedes optar por recibir alertas de seguridad individualmente por correo electrónico, en un correo electrónico del resumen diario, en tus notificaciones web o en la interfaz de usuario de GitHub. Para obtener más información, consulta "Elegir el método de entrega para tus notificaciones".

Email notifications for security alerts that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for security alerts. For more information, see "About email notifications."

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos