Versión del artículo: Enterprise Server 2.17
Acerca de las alertas de seguridad para las dependencias vulnerables
GitHub Enterprise envía alertas de seguridad cuando detectamos vulnerabilidades que afecten a tu repositorio.
Acerca de las vulnerabilidades de seguridad
Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Dependiendo del nivel de gravedad y la manera en la que tu proyecto utiliza la dependencia, las vulnerabilidades pueden causar diversos problemas para el mismo y para la gente que lo utiliza. Puedes hacer un seguimiento y resolver las vulnerabilidades para ciertos tipos de dependencias en tu repositorio de GitHub Enterprise.
Te enviaremos una alerta de seguridad si GitHub detecta una vulnerabilidad desde el GitHub Advisory Database o desde WhiteSource en una de las dependencias de la gráfica de dependencias de tu repositorio. Para obtener más información acerca de GitHub Advisory Database, consulta la sección "Buscar vulnerabilidades de seguridad en el GitHub Advisory Database".
Alertas de seguridad para las dependencias vulnerables
Cuando se añade una nueva vulnerabilidad a la Base de Datos de Asesoría de GitHub, identificamos los públicosque utilizan la versión afectada de la dependencia y enviar una alerta de seguridad a los mantenedores del mismo.
Cada alerta de seguridad incluye un nivel de gravedad. Cuando esté disponible, la alerta incluirá más detalles acerca de la vulnerabilidad.
Puedes ver todas las alertas que afectan a un proyecto en el gráfico de dependencias del repositorio.
Enviamos alertas de seguridad para las personas con permisos de administrador en los repositorios por defecto afectados. GitHub Enterprise nunca divulga públicamente las vulnerabilidades identificadas para ningún repositorio.
Tu administrador de sitio debe habilitar las alertas de seguridad para las dependencias vulnerables de tu instancia de servidor de GitHub Enterprise para que puedas utilizar esta característica. Para obtener más información, consulta "Habilitar alertas de seguridad para dependencias vulnerables en el GitHub Enterprise Server".
Para obtener una lista de los idiomas admitidos que GitHub Enterprise pueden detectar vulnerabilidades y dependencias, consulta "Detallar los paquetes de los que depende un repositorio".
Nota: Las características de seguridad de GitHub Enterprise, como las alertas de seguridad, no afirman atrapar todas las vulnerabilidades. Aunque siempre estamos intentando actualizar nuestra base de datos de vulnerabilidades y alertarte con nuestra información más actualizada, no nos será posible atrapar todo o alertarte sobre vulnerabilidades conocidas dentro de un plazo garantizado. Estas características no son sustitutos de la revisión humana de cada dependencia por posibles vulnerabilidades o cualquier otra cuestión. Te recomendamos consultar con un servicio de seguridad o realizar una revisión de vulnerabilidad exhaustiva cuando sea necesario.
Configurar notificaciones para alertas de notificaciones
Predeterminadamente, recibirás alertas de seguridad por correo electrónico. También puedes elegir recibir las alertas de seguridad en un correo electrónico semanal que las resuma en hasta 10 de tus repositorios, en tus notificaciones web, o en la interfaz de usuario de GitHub Enterprise. For more information, see "Choosing the delivery method for your notifications ."