Skip to main content

Esta versión de GitHub Enterprise Server se discontinuará el 2026-08-25. No se admiten versiones discontinuas. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para mejorar el rendimiento, mejorar la seguridad y las nuevas características de GitHub Enterprise Server, consulte Información general del proceso de actualización. Para obtener ayuda con la actualización, GitHub Soporte técnico empresarial.

Habilitación de Dependabot para la empresa

Puede permitir que los usuarios encuentren y corrijan vulnerabilidades en las dependencias de código configurando Dependabot alerts y Dependabot updates.

¿Quién puede utilizar esta característica?

Enterprise owners can set up Dependabot.

Acerca de Dependabot para GitHub Enterprise Server

Dependabot ayuda a los usuarios a encontrar y corregir vulnerabilidades en sus dependencias. Primero debe configurar Dependabot para su empresa y, a continuación, puede habilitar Dependabot alerts para notificar a los usuarios las dependencias vulnerables y Dependabot updates corregir las vulnerabilidades y mantener las dependencias actualizadas a la versión más reciente.

Dependabot es solo una de las muchas características disponibles para proteger la seguridad de la cadena de suministro para GitHub. Para obtener más información sobre las otras características, consulta Seguridad de la cadena de suministro para su empresa.

Acerca de Dependabot alerts

Con Dependabot alerts, GitHub identifica dependencias vulnerables en los repositorios y crea alertas en GitHub Enterprise Server utilizando datos de GitHub Advisory Database y del servicio de grafo de dependencias.

Agregamos asesorías a la GitHub Advisory Database desde los siguientes orígenes:

Si conoce otra base de datos de la que deberíamos importar avisos, háganoslo saber si abre un problema en https://github.com/github/advisory-database.

Después de configurar Dependabot para su empresa, los datos de vulnerabilidad se sincronizan desde GitHub Advisory Database hasta su instancia una vez por hora. Solo se sincronizan los avisos GitHubrevisados. Para más información, consulta Exploración de los avisos de seguridad en GitHub Advisory Database.

También puedes elegir sincronizar manualmente los datos de vulnerabilidad en cualquier momento. Para más información, consulta Visualización de los datos de vulnerabilidad de la empresa.

Nota:

Cuando se habilita Dependabot alerts, no se carga ningún código o información sobre el código desde GitHub Enterprise Server en GitHub.com o GHE.com.

Cuando GitHub Enterprise Server recibe información sobre una vulnerabilidad, identifica los repositorios que usan la versión afectada de la dependencia y genera Dependabot alerts. Puede elegir si desea o no notificar automáticamente a los usuarios acerca del nuevo Dependabot alerts.

Para los repositorios con Dependabot alerts habilitado, el análisis se activa con cualquier envío a la rama por defecto cuando este incluye un archivo de manifiesto o un archivo de bloqueo. Además, cuando se agrega un nuevo registro de vulnerabilidades, GitHub Enterprise Server examina todos los repositorios existentes y genera alertas para cualquier repositorio que sea vulnerable. Para más información, consulta Alertas de Dependabot.

Acerca de Dependabot updates

Después de habilitar Dependabot alerts, puede optar por habilitar Dependabot updates. Cuando Dependabot updates están habilitados para GitHub Enterprise Server, los usuarios pueden configurar repositorios para que sus dependencias se actualicen y mantengan seguras automáticamente.

Nota:

Dependabot updates on GitHub Enterprise Server requiere GitHub Actions con ejecutores autohospedados.

De forma predeterminada, GitHub Actions los ejecutores usados por Dependabot necesitan acceso a Internet para descargar paquetes actualizados de administradores de paquetes ascendentes. Para Dependabot updates con tecnología de GitHub Connect, el acceso a Internet proporciona a sus ejecutores un token que permite acceder a dependencias y avisos alojados en GitHub.com.

Puede habilitar Dependabot updates para registros privados específicos en GitHub Enterprise Server instancias con acceso limitado o no a Internet. Para más información, consulta Configuración de Dependabot para funcionar con un acceso limitado a Internet.

Con Dependabot updates, GitHub crea pull requests automáticamente para actualizar las dependencias de dos maneras.

  • Dependabot version updates: los usuarios agregan un Dependabot archivo de configuración al repositorio para habilitar Dependabot la creación de solicitudes de incorporación de cambios cuando se publica una nueva versión de una dependencia con seguimiento. Para más información, consulta Actualizaciones de versión del dependabot.
  • Dependabot security updates: Los usuarios cambian una configuración del repositorio para habilitar Dependabot para crear solicitudes de extracción cuando GitHub detecta una vulnerabilidad en una de las dependencias del grafo de dependencias del repositorio. Para más información, consulta Alertas de Dependabot y Actualizaciones de seguridad de Dependabot.

Habilitar Dependabot alerts

Para poder habilitar Dependabot alerts, primero debe configurar Dependabot para su empresa:

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.

  2. En la parte superior de la página, haga clic en GitHub Connect.

  3. En "Dependabot", a la derecha de "Descargar periódicamente el GitHub Advisory Database para que los usuarios puedan recibir alertas de vulnerabilidad para dependencias de código abierto", seleccione el menú desplegable y haga clic en Habilitado sin notificaciones. Opcionalmente, para habilitar las alertas con notificaciones, haga clic en Habilitado con notificaciones.

    Captura de pantalla del menú desplegable "Habilitar" para Dependabot alerts, que muestra las opciones disponibles.

    Nota:

    Esta configuración solo controla las notificaciones por correo electrónico y web. Los resúmenes de correo electrónico y las advertencias de la interfaz de la línea de comandos (CLI) seguirán entregándose independientemente de la opción seleccionada.

    Sugerencia

    Se recomienda configurar Dependabot alerts sin notificaciones durante los primeros días para evitar una sobrecarga de notificaciones en tiempo real. Después de unos días, puede habilitar las notificaciones para recibir Dependabot alerts como de costumbre.

Ahora puede habilitar Dependabot alerts para todos los repositorios privados o internos existentes o nuevos en la página de configuración de empresa para "Advanced Security Code security". Como alternativa, los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para cada repositorio y organización. Los repositorios públicos están habilitados de forma predeterminada. Para más información, consulta Configuración de alertas de Dependabot.

Habilitar Dependabot updates

Antes de habilitar Dependabot updates:

Dependabot updates no se admiten en GitHub Enterprise Server si la empresa usa la agrupación en clústeres.

Nota:

Después de habilitar el gráfico de dependencias, puede usar la Dependabot acción . La acción generará un error si se introducen vulnerabilidades o licencias no válidas. Para obtener más información sobre la acción e instrucciones sobre cómo descargar la versión más reciente, consulta Utilizar la última versión de las acciones empaquetadas oficiales.

  1. Inicia sesión en tu instancia de GitHub Enterprise Server en http(s)://HOSTNAME/login.

  2. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

  3. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

  4. En la barra lateral " Site admin", haz clic en Consola de administración.

  5. En la barra lateral Settings, haga clic en Seguridad.

  6. En "Seguridad", seleccione Dependabot updates.

  7. En la barra lateral "Configuración" , haga clic en Guardar configuración.

    Nota:

    Al guardar la configuración en Consola de administración se restablecen los servicios del sistema, lo que podría generar un tiempo de inactividad visible para el usuario.

  8. Espera que se complete la fase de configuración.

  9. Haga clic en Visitar la instancia.

  10. Configura ejecutores autohospedados dedicados para crear los pull requests para actualizar las dependencias. Esto es necesario porque los flujos de trabajo usan una etiqueta de ejecutor específica. Para más información, consulta Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa.

  11. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.

  12. En la parte superior de la página, haga clic en GitHub Connect.

  13. En "Dependabot", a la derecha de "Los usuarios pueden actualizar fácilmente a dependencias de código código abierto no vulnerables", haga clic en Habilitar.

Al habilitar Dependabot alerts, debe considerar la posibilidad de configurar GitHub Actions también para Dependabot security updates. Esta característica permite que los desarrolladores arreglen las vulnerabilidades en sus dependencias. Para más información, consulta Administrar ejecutores autohospedados para actualizaciones del Dependabot en su empresa.

Si necesita una seguridad mejorada, se recomienda configurar Dependabot para usar registros privados. Para más información, consulta Configuración del acceso a registros privados para Dependabot.