Alertas de malware de Dependabot

          Dependabot malware alerts le ayudará a identificar malware en las dependencias para proteger el proyecto y sus usuarios.

¿Quién puede utilizar esta característica?

Repositorios con Dependabot alerts habilitadas

En este artículo

El software a menudo se basa en paquetes de varios orígenes, creando relaciones de dependencia que pueden amenazar la seguridad del proyecto. Por ejemplo, los actores incorrectos pueden usar paquetes malintencionados para ejecutar ataques de malware, obtener acceso al código, los datos, los usuarios y los colaboradores.

Para ayudar a proteger el proyecto, Dependabot puede comprobar las dependencias de los paquetes malintencionados conocidos y, a continuación, crear alertas con los pasos de corrección sugeridos.

Cuando Dependabot envía malware alerts

          Dependabot envía malware alerts cuando un paquete de la rama predeterminada del repositorio se marca como malintencionado. Las alertas de las dependencias existentes se generan en cuanto se marca el paquete en el GitHub Advisory Database

Las alertas también se generan al insertar confirmaciones que agregan un paquete malintencionado conocido o actualizan un paquete a una versión malintencionada conocida.

Nota:

Si el ecosistema, el nombre y la versión de un paquete interno coinciden con los de un paquete público malintencionado, Dependabot puede generar una alerta de falso positivo.

Contenido de la alerta

Cuando Dependabot detecta una dependencia malintencionada, aparece en la pestaña malware alert del Security and quality repositorio. Cada alerta incluye:

  • Vínculo al archivo afectado
  • Detalles sobre el paquete malintencionado, incluido el nombre del paquete, las versiones afectadas y la versión revisada (cuando está disponible)
  • Pasos para la corrección

Availability

Actualmente, Dependabot malware alerts están disponibles para paquetes en el npm ecosistema.

Notificaciones de alerta

De forma predeterminada, GitHub envía notificaciones por correo electrónico sobre las nuevas alertas a las personas que:

  • Tener permisos de escritura, mantenimiento o administrador en un repositorio
  • Está viendo el repositorio y ha habilitado las notificaciones para las alertas de seguridad o para toda la actividad en el repositorio

En GitHub.com, puede invalidar el comportamiento predeterminado eligiendo el tipo de notificaciones que desea recibir o desactivando las notificaciones por completo en la página de configuración de las notificaciones de usuario en https://github.com/settings/notifications.

Si le preocupa recibir demasiadas notificaciones, se recomienda aprovechar Evaluación de prioridades automática de Dependabot para descartar automáticamente las alertas de bajo riesgo. Consulte Acerca de Evaluación de prioridades automática de Dependabot.

Limitaciones

          Dependabot malware alerts tienen algunas limitaciones:

  • Las alertas no pueden detectar todos los problemas de seguridad. Revise siempre las dependencias y mantenga actualizados los archivos de manifiesto y bloqueo para una detección precisa.

  • El nuevo malware puede tardar tiempo en aparecer en GitHub Advisory Database y desencadenar alertas.

  • Solo los avisos revisados por GitHub activan alertas.

  •         Dependabot no examina los repositorios archivados.

  • Para GitHub Actions, las alertas solo se generan para las acciones que usan el control de versiones semántico, no el control de versiones SHA.

            GitHub nunca revela dependencias maliciosas en ningún repositorio.

Pasos siguientes

Para empezar a proteger el proyecto de dependencias malintencionadas, consulte Configuración de alertas de malware de Dependabot.