Nota: Para poder utilizar esta característica, el administrador del sitio debe configurar Dependabot updates para tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Habilitación de Dependabot para la empresa».
Es posible que no puedas habilitar o deshabilitar Dependabot updates si un propietario de empresa ha establecido una directiva en el nivel empresarial. Para más información, consulta "Aplicación de directivas de seguridad y análisis de código de la empresa".
Acerca de la configuración de las Dependabot security updates
Puedes habilitar las Dependabot security updates para cualquier repositorio que utilice Dependabot alerts y la gráfica de dependencias. Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot».
Puedes habilitar o deshabilitar Dependabot security updates para un único repositorio, para una selección de repositorios de una organización o para todos los repositorios propiedad de tu cuenta personal u organización. Para obtener más información sobre cómo habilitar las funciones de seguridad en una organización, consulta "Inicio rápido para proteger su organización."
Note
Cuando Dependabot security updates están habilitados para un repositorio, Dependabot intentará abrir automáticamente solicitudes de incorporación de cambios para resolver cada alerta abierta de Dependabot que tenga una revisión disponible. Si prefieres personalizar para qué alertas Dependabot abre solicitudes de incorporación de cambios, deberás dejar deshabilitado y crear una regla de autoevaluación de prioridades. Para obtener más información, vea «Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot».
Repositorios compatibles
GitHub habilita automáticamente Dependabot security updates para repositorios recién creados si la cuenta personal o la organización ha habilitado Habilitar automáticamente para los nuevos repositorios para Dependabot security updates. Para obtener más información, consulta "Administración de Dependabot security updates para los repositorios".
Si creas una bifurcación de un repositorio que tiene habilitadas las actualizaciones de seguridad, GitHub deshabilitará automáticamente Dependabot security updates para la bifurcación. Después, puedes decidir si quieres habilitar Dependabot security updates en la bifurcación específica.
Si no se habilitan las actualizaciones de seguridad para tu repositorio y no sabes por qué, intenta primero habilitarles de acuerdo con las instrucciones que se encuentran en los procedimientos siguientes. Si las actualizaciones de seguridad aún no funcionan, puedes contactar al el administrador del sitio.
Administrar las Dependabot security updates para tus repositorios
Puedes habilitar o deshabilitar Dependabot security updates para todos los repositorios aptos que pertenezcan a tu cuenta personal u organización. Para más información, consulta "Administración de la configuración de seguridad y análisis para la cuenta personal" o "Administrar la configuración de seguridad y análisis de su organización".
También puedes habilitar o inhabilitar Dependabot security updates para un repositorio individual.
Habilitar o inhabilitar las Dependabot security updates para un repositorio individual.
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
-
En "Seguridad y análisis de código", a la derecha de "Dependabot actualizaciones de seguridad", haga clic en Habilitar para habilitar la característica o Deshabilitar para deshabilitarla.
Invalidación del comportamiento predeterminado con un archivo de configuración
Puedes invalidar el comportamiento predeterminado de Dependabot security updates; para ello, agrega un archivo dependabot.yml
al repositorio.
Si solo necesitas actualizaciones de seguridad y quieres excluir las actualizaciones de versión, puedes establecer open-pull-requests-limit
en 0
para evitar las actualizaciones de versión de un package-ecosystem
determinado.
Para obtener más información sobre las opciones de configuración disponibles para las actualizaciones de seguridad, consulta "Opciones de configuración para el archivo dependabot.yml".
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
Nota: Para que Dependabot usen esta configuración para las actualizaciones de seguridad, directory
debe ser la ruta de acceso a los archivos de manifiesto y no debe especificar un target-branch
.