Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Configurar correcciones de seguridad automatizadas

Puedes usar solicitudes de extracción automatizadas o manuales para actualizar fácilmente dependencias vulnerables.

En este artículo

Acerca de las correcciones de seguridad automatizadas

Nota: Las correcciones de seguridad automáticas están disponibles en beta y están sujetas a cambios.

Puedes habilitar las correcciones de seguridad automatizadas para cualquier repositorio que use alertas de seguridad y para el gráfico de dependencia. Habilitaremos automáticamente las correcciones de seguridad automatizadas en cada repositorio que use alertas de seguridad y en los gráficos de dependencia durante los próximos meses, comenzando en mayo de 2019. Puedes inhabilitar las correcciones de seguridad automatizadas para un repositorio individual o para todos los repositorios que le pertenecen a tu cuenta de usuario u organización.

Cuando recibes una alerta de seguridad sobre una dependencia vulnerable en tu repositorio, puedes resolver la vulnerabilidad mediante una corrección de seguridad automatizada en una solicitud de extracción que corresponda con la alerta de seguridad. Las correcciones de seguridad automatizadas están disponibles en los repositorios que usan el gráfico de dependencia. Por defecto, GitHub automáticamente crea una solicitud de extracción en tu repositorio para actualizar la dependencia vulnerable a la mínima versión segura posible que se necesita para evitar la vulnerabilidad. Si lo prefieres, puedes inhabilitar las solicitudes de extracción automáticas y crear manualmente solicitudes de extracción para actualizar dependencias solo cuando lo desees.

Las solicitudes de seguridad automatizadas tienen todo lo que necesitas para revisar y fusionar de manera rápida y segura una corrección propuesta en tu proyecto, incluida la información sobre la vulnerabilidad como notas de lanzamiento, entradas de registro de cambios y detalles de confirmaciones.

Dependabot abren las correcciones de seguridad automatizadas en nombre de GitHub. La App GitHub de Dependabot se instala automáticamente en cada repositorio donde están habilitadas las correcciones de seguridad automatizadas.

Las personas con acceso a las alertas de seguridad de tu repositorio verán un enlace a las alertas de seguridad pertinentes, si bien otras personas con acceso a la solicitud de extracción no podrán ver qué vulnerabilidad resuelve la solicitud de extracción.

Cuando fusionas una solicitud de extracción que contiene una corrección de seguridad automatizada, la alerta de seguridad correspondiente se marca como resuelta para tu repositorio.

Nota: Las correcciones de seguridad automatizadas resuelven vulnerabilidades de seguridad únicamente. Las correcciones de seguridad automatizadas no se crearon para resolver vulnerabilidades en registros privados o paquetes alojados en repositorios privados.

Acerca de las puntuaciones de compatibilidad

Las correcciones de seguridad automatizadas también incluyen puntuaciones de compatibilidad para que puedas saber si la actualización de una vulnerabilidad puede causar cambios importantes a tu proyecto. Observamos pruebas previamente aprobadas de CI de repositorios públicos donde hemos generado una corrección de seguridad automatizada determinada para aprender si la actualización genera fallas en las pruebas. Una puntuación de compatibilidad de la actualización es el porcentaje de ejecuciones de CI que se aprobaron al actualizar entre las versiones relevantes de la dependencia.

Administrar correcciones de seguridad automatizadas para tu repositorio

Puedes habilitar o inhabilitar correcciones de seguridad automatizadas para un repositorio individual.

Antes de que puedas habilitar las correcciones de seguridad automatizadas, debes habilitar el gráfico de dependencia y las alertas de seguridad para tu repositorio. Para obtener más información, consulta "Incluir o excluir uso de datos para tu repositorio".

  1. En GitHub, visita la página principal del repositorio.

  2. En el nombre de tu repositorio, haz clic en Seguridad.

    Pestaña Seguridad

  3. Sobre la lista de alertas, usa el menú desplegable y selecciona o quita la selección de Automated security fixes (Correcciones de seguridad automatizadas).

    Menú desplegable con la opción para habilitar correcciones de seguridad automatizadas

Administrar correcciones de seguridad automatizadas para tu cuenta de usuario

Puede inhabilitar correcciones de seguridad automatizadas para todos los repositorios que le pertenecen a tu cuenta de usuario. Si lo haces, aún puedes habilitar correcciones de seguridad automatizadas para repositorios individuales que le pertenecen a tu cuenta de usuario.

  1. En la esquina superior derecha de cualquier página, haz clic en tu foto de perfil y luego haz clic en Parámetros.

    Icono Parámetros en la barra de usuario

  2. En la barra lateral de tus parámetros de usuario, haz clic en Seguridad.

    Barra lateral de parámetros de seguridad

  3. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  4. Haz clic en Save (Guardar).

Administrar correcciones de seguridad automatizadas para tu organización

Los propietarios de las organizaciones pueden inhabilitar las correcciones de seguridad automatizadas para todos los repositorios que le pertenecen a la organización. Si lo haces, cualquier usuario con permisos de administración en un repositorio individual que le pertenece a la organización puede habilitar correcciones de seguridad automatizados en ese repositorio.

  1. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil, y luego haz clic en Tu perfil.

    Foto de perfil

  2. A la izquierda de tu página de perfil, en "Organizaciones", haz clic en el icono de tu organización.

    iconos de la organización

  3. En el nombre de tu organización, haz clic en Parámetros.

    Botón Parámetros de la organización

  4. En la barra lateral de parámetros de la organización, haz clic en Seguridad.

    Parámetros de seguridad

  5. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  6. Haz clic en Save (Guardar).

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos