Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot

Puede crear sus propias reglas de evaluación de prioridades automática para controlar las alertas que se descartan o se posponen, y para qué alertas desea que Dependabot abra solicitudes de cambios.

¿Quién puede utilizar esta característica?

People with write permissions can view Evaluación de prioridades automática de Dependabot for the repository. People with admin permissions to a repository can enable or disable reglas de evaluación de prioridades automática for the repository, as well as create reglas de evaluación de prioridades automática personalizadas. Additionally, organization owners and security managers can set reglas de evaluación de prioridades automática at the organization-level and optionally choose to enforce rules for repositories in the organization.

Hay disponibles Reglas de evaluación de prioridades automática personalizadas para Dependabot alerts (de forma gratuita) en repositorios públicos.

En este artículo

Acerca de reglas de evaluación de prioridades automática personalizadas

Puede crear sus propias Evaluación de prioridades automática de Dependabot en función de los metadatos de alerta. Puede optar por descartar automáticamente las alertas indefinidamente o posponer alertas hasta que una revisión esté disponible y puede especificar qué alertas desea que Dependabot abra solicitudes de incorporación de cambios para.

Dado que las reglas que cree se aplican a las alertas futuras y actuales, también puede usar reglas de evaluación de prioridades automática para administrar sus Dependabot alerts de forma masiva.

Los administradores del repositorio pueden crear reglas de evaluación de prioridades automática personalizadas para sus repositorios public.

Los propietarios de la organización y los administradores de seguridad pueden establecer reglas de evaluación de prioridades automática personalizadas en el nivel de organización y, a continuación, elegir si se aplica o habilita una regla en todos los repositorios públicos de la organización.

  • Reforzado: si una regla de nivel de organización es "aplicada", los administradores del repositorio no pueden editar, deshabilitar ni eliminar la regla.
  • Habilitado: si una regla de nivel de organización está "habilitada", los administradores del repositorio todavía pueden deshabilitar la regla para su repositorio.

Nota: En caso de que una regla de nivel de organización y una regla de nivel de repositorio especifiquen comportamientos conflictivos, la acción establecida por la regla de nivel de organización tiene prioridad. Las reglas de descarte siempre actúan antes de las reglas que desencadenan las solicitudes de incorporación de cambios de Dependabot.

Puede crear reglas para dirigir las alertas mediante los metadatos siguientes:

  • ID. de CVE
  • CWE
  • Ámbito de dependencia (devDependency o runtime)
  • Ecosistema
  • IDENTIFICADOR DE GHSA
  • Ruta de acceso del manifiesto (solo para reglas de nivel de repositorio)
  • Nombre del paquete
  • Disponibilidad de revisiones
  • Gravedad

Comprender cómo interactúan reglas de evaluación de prioridades automática personalizadas y Dependabot security updates

Puede usar reglas de evaluación de prioridades automática personalizadas para personalizar para qué alertas desea que Dependabot abra solicitudes de cambios. Sin embargo, para que una regla de "abrir una solicitud de extracción" surta efecto, debe asegurarse de que Dependabot security updates están deshabilitados para el repositorio (o repositorios) al que debe aplicarse la regla.

Cuando Dependabot security updates están habilitados para un repositorio, Dependabot intentará abrir automáticamente solicitudes de incorporación de cambios para resolver cada alerta abierta de Dependabot que tenga una revisión disponible. Si prefiere personalizar este comportamiento mediante una regla, debe dejar Dependabot security updates deshabilitado.

Para obtener más información sobre cómo habilitar o deshabilitar Dependabot security updates para un repositorio, consulte "Configuración de actualizaciones de seguridad de Dependabot".

Agregar reglas de evaluación de prioridades automática personalizadas al repositorio

Nota: Durante la versión preliminar pública, puede crear hasta 10 reglas de evaluación de prioridades automática personalizadas para un repositorio.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En “Dependabot alerts”, haga clic en junto a reglas “Dependabot”.

  5. Haga clic en Nueva regla.

  6. En “Nombre de la regla”, describa lo que hará esta regla.

  7. En "Estado", use el menú desplegable para seleccionar si la regla debe estar habilitada o deshabilitada para el repositorio.

  8. En "Alertas objetivo", seleccione los metadatos que desea utilizar para filtrar las alertas.

  9. En “Reglas”, seleccione la acción que desea realizar en las alertas que coincida con los metadatos:

    • Seleccione Descartar alertas para descartar automáticamente las alertas que coincidan con los metadatos. Puede optar por descartar las alertas indefinidamente o posponer alertas hasta que haya una revisión disponible.
    • Seleccione Abrir una solicitud de incorporación de cambios para resolver esta alerta si desea que Dependabot sugiera cambios para resolver alertas que coincidan con los metadatos de destino. Tenga en cuenta que esta opción no está disponible si ya ha seleccionado la opción para descartar alertas indefinidamente o si Dependabot security updates está habilitado en la configuración del repositorio.

  10. Haga clic en Crear regla.

Agregar reglas de evaluación de prioridades automática personalizadas a la organización

Puedes agregar reglas de evaluación de prioridades automática personalizadas para todos los repositorios aptos de la organización. Para obtener más información, vea «Configuración de seguridad global para su organización».

Editar o eliminar reglas de evaluación de prioridades automática personalizadas del repositorio

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En “Dependabot alerts”, haga clic en junto a reglas “Dependabot”.

  5. En "Reglas de repositorio", a la derecha de la regla que desea editar o eliminar, haga clic en .

  6. Para editar la regla, haz los cambios en los campos aplicables y, a continuación, haz clic en Guardar regla.

  7. Para eliminar la regla, en "Zona de peligro", haga clic en Eliminar regla.

  8. En el campo "¿Está seguro de que desea eliminar esta regla?" cuadro de diálogo, revise la información y haga clic en Eliminar regla.

Editar o eliminar reglas de evaluación de prioridades automática personalizadas de la organización

Puedes editar o eliminar reglas de evaluación de prioridades automática personalizadas para todos los repositorios aptos de la organización. Para obtener más información, vea «Configuración de seguridad global para su organización».