Implementación de las actualizaciones de seguridad y las alertas de Dependabot de GitHub
Alertas
Dependabot de GitHub detecta dependencias vulnerables y envía alertas de Dependabot sobre ellas en varias situaciones:
- Se agrega una nueva vulnerabilidad a la base de datos de GitHub Advisory.
- Se procesan los datos de una nueva vulnerabilidad de Mend.
- Cambia el gráfico de dependencias de un repositorio.
Las alertas se detectan en repositorios públicos de manera predeterminada, pero se pueden activar para otros repositorios.
Las notificaciones se pueden enviar a través de mecanismos de notificación estándar de GitHub.
Para obtener más información sobre las alertas de Dependabot, consulte Acerca de las alertas de dependencias vulnerables.
Consulte Ecosistemas de paquetes admitidos para obtener más información sobre los paquetes proporcionados desde los que se pueden generar alertas.
Para obtener más información sobre las notificaciones, consulte Configuración de notificaciones.
Actualizaciones de seguridad
Una ventaja clave de las actualizaciones de seguridad de Dependabot es que pueden crear automáticamente solicitudes de incorporación de cambios.
A continuación, un desarrollador puede revisar la actualización sugerida y realizar una evaluación de prioridades de los aspectos necesarios para su incorporación.
Para obtener más información sobre las actualizaciones de seguridad automáticas, consulte Acerca de las actualizaciones de seguridad de Dependabot de GitHub.