Esta versión de GitHub Enterprise Server se discontinuó el 2026-06-02. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Dependabot security updates

Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.

¿Quién puede utilizar esta característica?

Dependabot security updates está disponible para los repositorios siguientes:

  • Todos los repositorios de GitHub Enterprise Server

En este artículo

Nota:

Para poder utilizar esta característica, el administrador del sitio debe configurar Dependabot updates para tu instancia de GitHub Enterprise Server. Para obtener más información, consulta Habilitación de Dependabot para la empresa.

Es posible que no puedas habilitar ni deshabilitar Dependabot updates si un propietario de empresa ha establecido una directiva a nivel empresarial. Para más información, consulta Aplicación de directivas de seguridad y análisis de código de la empresa.

About Dependabot security updates

Dependabot security updates make it easier for you to fix vulnerable dependencies in your repository.

If you enable Dependabot security updates, when a Dependabot alert is raised for a vulnerable dependency in the dependency graph of your repository, Dependabot automatically tries to fix it. For more information, see Dependabot alerts and Configuración de actualizaciones de seguridad de Dependabot.

You can add a dependabot.yml configuration file to your repository to customize Dependabot behavior, including update schedules, pull request settings, and which dependencies to monitor. For more information, see Acerca del archivo dependabot.yml. You then configure options in this file to tell Dependabot how to secure the dependencies your repository relies on.

Para más información sobre los ecosistemas compatibles con los repositorios privados, consulta Ecosistemas y repositorios admitidos por Dependabot.

Nota:

There is no interaction between the settings specified in the dependabot.yml file and Dependabot security alerts, other than the fact that alerts will be closed when related pull requests generated by Dependabot for security updates are merged.

Dependabot firma sus propias confirmaciones de manera predeterminada, incluso si la firma de confirmación no es un requisito para el repositorio. Para obtener más información sobre las confirmaciones de verificación, consulta Acerca de la verificación de firma de confirmación.

Nota:

Cuando Dependabot security updates están habilitados para un repositorio, Dependabot intentará abrir automáticamente solicitudes de incorporación de cambios para resolver cada alerta abierta de Dependabot que tenga una revisión disponible. Si prefieres personalizar para qué alertas Dependabot abre solicitudes de incorporación de cambios, deberás dejar Dependabot security updates deshabilitado y crear una regla de autoevaluación de prioridades. Para más información, consulta Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot.

GitHub may send Dependabot alerts to repositories affected by a vulnerability disclosed by a recently published GitHub security advisory. Para más información, consulta Exploración de los avisos de seguridad en GitHub Advisory Database.

Dependabot checks whether it's possible to upgrade the vulnerable dependency to a fixed version without disrupting the dependency graph for the repository. Then Dependabot raises a pull request to update the dependency to the minimum version that includes the patch and links the pull request to the Dependabot alert, or reports an error on the alert. For more information, see Errores de Dependabot.

The Dependabot security updates feature is available for repositories where you have enabled the dependency graph and Dependabot alerts. You will see a Dependabot alert for every vulnerable dependency identified in your full dependency graph. However, security updates are triggered only for dependencies that are specified in a manifest or lock file. For more information, see Dependency graph.

Nota:

For npm, Dependabot will raise a pull request to update an explicitly defined dependency to a secure version, even if it means updating the parent dependency or dependencies, or even removing a sub-dependency that is no longer needed by the parent. For other ecosystems, Dependabot is unable to update an indirect or transitive dependency if it would also require an update to the parent dependency. For more information, see Errores de Dependabot.

You can enable a related feature, Dependabot version updates, so that Dependabot raises pull requests to update the manifest to the latest version of the dependency, whenever it detects an outdated dependency. For more information, see Dependabot version updates.

Cuando Dependabot genera solicitudes de incorporación de cambios, pueden ser para actualizaciones de seguridad o de versión:

  • Dependabot security updates son solicitudes de incorporación de cambios automatizadas que ayudan a actualizar las dependencias con vulnerabilidades conocidas.
  • Dependabot version updates son solicitudes de incorporación de cambios automatizadas que mantienen actualizadas las dependencias, incluso cuando no tienen ninguna vulnerabilidad. Para verificar el estado de las actualizaciones de versión, navega a la pestaña de perspectivas de tu repositorio, luego a la gráfica de dependencias, y luego al Dependabot.

If you enable Dependabot security updates, parts of the configuration may also affect pull requests created for Dependabot version updates. This is because some configuration settings are common to both types of updates. For more information, see Personalización de solicitudes de incorporación de cambios para actualizaciones de seguridad de Dependabot.

Antes de habilitar Dependabot updates, debes configurar tu instancia de GitHub Enterprise Server para que use GitHub Actions con ejecutores autohospedados. GitHub Actions se requiere para Dependabot version updates y Dependabot security updates para ejecutar en GitHub. Para más información, consulta Habilitación de Dependabot para la empresa

Dependabot security updates puede corregir dependencias vulnerables en GitHub Actions. Cuando se habilitan las actualizaciones de seguridad, Dependabot generará automáticamente una solicitud de cambios para actualizar los datos vulnerables GitHub Actions usados en los flujos de trabajo a la versión con revisión mínima.

About grouped security updates

To further reduce the number of pull requests you may be seeing, you can enable grouped security updates to group sets of dependencies together (per package ecosystem). Dependabot then raises a single pull request to update as many vulnerable dependencies as possible in the group to secure versions at the same time.

For security updates, Dependabot will only group dependencies from different directories per ecosystem under certain conditions and configurations. Dependabot will not group dependencies from different package ecosystems together, and it will not group security updates with version updates.

Puede habilitar solicitudes de incorporación de cambios agrupadas para Dependabot security updates en una o ambas de las siguientes maneras.

  • Para agrupar tantas actualizaciones de seguridad disponibles como sea posible, en todos los directorios y por ecosistema, habilite la agrupación en la configuración "Code security and analysis" del repositorio o en "Configuración global" en Code security and analysis para su organización.
  • Para un control más granular de la agrupación, como la agrupación por nombre del paquete, dependencias de desarrollo y producción, nivel SemVer o entre varios directorios por ecosistema, agrega opciones de configuración al archivo de configuración dependabot.yml del repositorio.

Nota:

Si has configurado reglas de grupo para Dependabot security updates en un archivo dependabot.yml, todas las actualizaciones disponibles se agruparán según las reglas especificadas. Dependabot solo se agruparán entre esos directorios no configurados en dependabot.yml si también está habilitada la configuración de actualizaciones de seguridad agrupadas en el nivel de organización o repositorio.

For more information, see Configuración de actualizaciones de seguridad de Dependabot.

About automatic deactivation of Dependabot updates

Cuando los mantenedores de un repositorio dejan de interactuar con las solicitudes de cambios de Dependabot, Dependabot pausa temporalmente sus actualizaciones y te informa de ello; consulta Ya no se generan actualizaciones de solicitudes de incorporación de cambios de actualización de Dependabot.

About notifications for Dependabot security updates

You can filter your notifications on GitHub to show Dependabot security updates. For more information, see Administrar las notificaciones en tu bandeja de entrada.