Acerca de Valores preestablecidos de GitHub
La regla Dismiss low impact issues for development-scoped dependencies
es una GitHub prestablecida que descarta automáticamente determinados tipos de vulnerabilidades que se encuentran en las dependencias de npm usadas en el desarrollo. Estas alertas incluyen casos que se perciben como falsas alarmas para la mayoría de los desarrolladores ya que las vulnerabilidades asociadas:
- Es poco probable que se puedan infringir en un entorno de desarrollo (uno que no es de producción o en tiempo de ejecución).
- Pueden estar relacionadas con problemas de administración de recursos, programación y lógica y divulgación de información.
- En el peor de los casos, tienen efectos limitados, como compilaciones lentas o pruebas de larga duración.
- No son indicativas de problemas en producción.
Nota: La eliminación automática de alertas de desarrollo de bajo impacto solo se admite actualmente para npm.
La regla Dismiss low impact issues for development-scoped dependencies
incluye vulnerabilidades relacionadas con problemas de administración de recursos, programación y lógica, y problemas de divulgación de información. Para más información, consulte “Enumeración de puntos débiles divulgados públicamente que son empleados por la Dismiss low impact issues for development-scoped dependencies
regla”.
Filtrar estas alertas de bajo impacto permite centrarse en las alertas que son importantes, sin tener que preocuparse por pasar por alto posibles alertas de alto riesgo relacionadas con el desarrollo.
La regla Dismiss low impact issues for development-scoped dependencies
está habilitada de manera predeterminada para los repositorios públicos e inhabilitada para los repositorios privados. Los administradores de repositorios privados pueden optar por habilitar las reglas para su repositorio.
Habilitación de la regla Dismiss low impact issues for development-scoped dependencies
para su repositorio privado
Dependabot alerts para el repositorio. Para más información, consulta "Habilitación de Dependabot para la empresa".
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
-
En “Dependabot alerts”, haga clic en junto a reglas “Dependabot”.
-
En "valores preestablecidos de GitHub", a la derecha de "Descartar problemas de bajo impacto para las dependencias con ámbito de desarrollo", haga clic en .
-
En "Estado", seleccione el menú desplegable y haga clic en "Habilitado".
-
Haga clic en Guardar regla.
Enumeración de puntos débiles (CWE) divulgados públicamente por la Dismiss low impact issues for development-scoped dependencies
regla
Junto con los metadatos de alerta ecosystem:npm
y scope:development
, se usan las siguientes enumeraciones de puntos débiles mantenidas por GitHub para filtrar las alertas de impacto bajo de la regla Dismiss low impact issues for development-scoped dependencies
. Mejoramos periódicamente esta lista y los patrones de vulnerabilidad incluidos en las reglas integradas.
Problemas de administración de recursos
- CWE-400: Consumo de recursos no controlado
- CWE-770: Asignación de recursos sin límites ni limitaciones
- CWE-409: Control incorrecto de datos muy comprimidos (amplificación de datos)
- CWE-908: Uso de recursos sin inicializar
- CWE-1333: Complejidad ineficaz de expresiones regulares
- CWE-835: Bucle con condición de salida inaccesible ("Bucle infinito")
- CWE-674: Recursividad no controlada
- CWE-1119: Uso excesivo de bifurcación incondicional
Errores de programación y lógica
- CWE-185: Expresión regular incorrecta
- CWE-754: Comprobación incorrecta de condiciones inusuales o excepcionales
- CWE-755: Control incorrecto de condiciones excepcionales
- CWE-248: Excepción no detectada
- CWE-252: Valor devuelto desactivado
- CWE-391: Condición de error desactivada
- CWE-696: Orden de comportamiento incorrecto
- CWE-1254: Granularidad de la lógica de comparación incorrecta
- CWE-665: Inicialización incorrecta
- CWE-703: Comprobación o control incorrecto de condiciones excepcionales
- CWE-178: Control incorrecto de la distinción entre mayúsculas y minúsculas
Problemas de divulgación de información
- CWE-544: Falta el mecanismo de control de errores estandarizado
- CWE-377: Archivo temporal no seguro
- CWE-451: La interfaz de usuario tergiversa información crítica
- CWE-668: Exposición del recurso a una esfera incorrecta