Gestión de Seguridad de Paquetes con Dependabot en Proyectos .NET

Resumen

La gestión de dependencias es esencial para mantener la seguridad y estabilidad de las aplicaciones. Dependabot es una herramienta eficaz que, al integrarse en el flujo de trabajo, identifica y soluciona problemas en las versiones de paquetes de terceros, minimizando vulnerabilidades. Aquí exploramos cómo configurar y aprovechar al máximo Dependabot.

¿Por qué es importante mantener actualizados los paquetes de terceros?

Los paquetes de terceros son un recurso común en el desarrollo para simplificar tareas como la lectura de archivos JSON o la creación de APIs. Sin embargo, estas dependencias pueden convertirse en un riesgo si no se actualizan, ya que las versiones desactualizadas pueden contener vulnerabilidades que comprometan la seguridad de la aplicación.

¿Cómo activar Dependabot en un repositorio?

Para activar Dependabot:

Accede a Settings o Security dentro del repositorio.
Ve a Code Security and Analysis y selecciona la categoría de Dependabot.
Activa las alertas de seguridad y actualizaciones de versión.
Dependabot generará un archivo dependabot.yml, donde puedes ajustar la frecuencia de las revisiones, como cambiar de semanal a diaria para detectar actualizaciones con mayor regularidad.

¿Cómo utilizar Dependabot para gestionar versiones específicas?

En el caso de proyectos .NET, se pueden elegir versiones específicas de paquetes:

Navega a la pestaña del paquete deseado (por ejemplo, Newtonsoft.Json).
Escoge una versión con vulnerabilidades conocidas (como 12.0.3 en este ejemplo) para ver cómo Dependabot detecta y notifica el problema.
Dependabot genera un pull request automáticamente para actualizar la versión del paquete y solucionar la vulnerabilidad detectada.

¿Qué sucede cuando Dependabot detecta una vulnerabilidad?

Cuando Dependabot encuentra una vulnerabilidad:

Notifica con prioridad la versión insegura del paquete.
Crea un pull request para actualizar el paquete a una versión segura.
Permite revisar y aceptar la actualización directamente desde la sección de Security o en Pull Requests.

Dependabot analiza la compatibilidad de versiones para asegurar que la actualización sea estable y, en algunos casos, puede incluso eliminar la rama creada una vez fusionada la actualización.

¿Por qué integrar Dependabot en el flujo de trabajo?

Dependabot simplifica la gestión de actualizaciones:

Detecta y repara vulnerabilidades sin intervención manual.
Mantiene el proyecto actualizado con las versiones estables más recientes de cada dependencia.
Agiliza la revisión y aplicación de actualizaciones, evitando que el equipo trabaje con versiones obsoletas.

Sara María Mejia Sánchez

student•

Hola Les comparto el vínculo al paquete Newtonsoft.Json, pues no se encuentra relacionado en los recursos de la clase

https://www.nuget.org/packages/newtonsoft.json/

Jean Carlos Hallak

student•

Gracias

Alejandro Dorado

student•

👍👍

Sara María Mejia Sánchez

student•

Parece que esta clase no quedó en la posición correcta, pues menciona que "ya vimos cómo evitar fugas de información gracias a Secret scanning" y la realidad es que no, la última clase según el orden que lleva el curso fue la 30. Cómo Usar Tokens en GitHub para Acceso Seguro a Repositorios Privados

Jean Carlos Hallak

student•

igual me percate de este error, todavia no lo reparan

Albert Jose Salas Yustiz

student•

Si con relación al orden de las clases. La clase anterior Mitigación de Brechas de Seguridad en Repositorios GitHub contiene la información acerca del uso del secret scaning mas no del git ignore.

José Alberto Ortiz Vargas

student•

Si en su terminal les manda el error Command 'dotnet' not found, but can be installed with:

Ejecuten los siguientes comandos:

sudo apt-get update

sudo apt-get install dotnet-sdk-8.0

cristhian joel Acevedo Tipian

student•

gracias

Victor Matias Marquez

student•

Gracias mi rey!

Diego Andrés Lopez Rodriguez

student•

Dependabot es una herramienta de GitHub que ayuda a mantener tu proyecto seguro y actualizado. Automáticamente revisa las dependencias de tu proyecto y te notifica sobre versiones obsoletas o vulnerabilidades en los paquetes que usas. Además, crea pull requests para actualizar esas dependencias, facilitando así la gestión de la seguridad y la integridad de tu código. Esto es crucial, ya que muchas aplicaciones dependen de paquetes de terceros, y mantenerlos actualizados es vital para evitar brechas de seguridad.

Sara María Mejia Sánchez

student•

Wow el Dependabot es una herramienta muy poderosa de seguridad, que nos ayuda a tener nuestro proyecto y dependencias actualizadas de manera automática.

Diego Andrés García Mendoza

student•

Por aquí les dejo la ruta del paquete .NET: https://www.nuget.org/packages/Newtonsoft.Json#readme-body-tab

Gastón Vilariño

student•

Hola! En que Clase vimos el tema de secret scanning? El profe lo da como si fuese un tema ya visto, pero la realidad es q no lo recuerdo.

Gastón Vilariño

student•

Ya lo encontré! Lo explica en la clase 33. Se ve que en la edición de las clases hubo una desorganización en el orden. Aunque no quita el gran curso q estamos haciendo. A seguir aprendiendo! 💪🏻

David Agudelo

student•

a alguien más le sale este error? después de hacer en la terminal:

dotnet add package Newtonsoft.Json --version 12.0.3"
``` The command could not be loaded, possibly because:

```txt
The command could not be loaded, possibly because:
  * You intended to execute a .NET application:
      The application 'add' does not exist.
  * You intended to execute a .NET SDK command:
      No .NET SDKs were found.

Download a .NET SDK:
https://aka.ms/dotnet-download

Learn about SDK resolution:
https://aka.ms/dotnet/sdk-not-found
```intenté instalando:&#x20;


* .NET 9.0 SDK (v9.0.202)
* ASP.NET Core Runtime 9.0.3
* NET Desktop Runtime 9.0.3
* [dotnet-sdk-8.0.407](https://download.visualstudio.microsoft.com/download/pr/5ba8123b-4806-4d1b-89f2-994904bd6335/b22190c9dcec3722bb366c2f1b8379a7/dotnet-sdk-8.0.407-win-x86.exe "dotnet-sdk-8.0.407-win-x86.exe") &#x20;

  alguna recomendación ?&#x20;

Jose Luis Bedoya

student•

muy útil la existencia de esta herramienta! Mantener el código seguro por muy poco esfuerzo es un increible tradeoff

Luis Jaime Nazar Silva

student•

No se sobre .NET pero ... luego de hacer el merge del PR y tener la versión estable, al hacer el pull en la maquina personal la versión se actualiza automáticamente o toca abrir el terminal e instalar la versión nueva ?

Amin Espinoza

teacher•

Eso depende, si alguien en tu equipo tuvo la generosidad de actualizar la versión (eso nunca pasa! Jajaja) entonces al hacer ese pull podrás recibir esa actualización, de lo contrario entonces tocará acordarlo y que todos en el equipo acepten hacer un PR de actualización.

Jose Luis Bedoya

student•

le marcaste la versión es especifico??

si solo le das add package y el nombre de la extensión, te instalará el ultimo!!!

Ana Garro1

company_admin•

git ignore

Mario Alexander Vargas Celis

student•

🔒 Gestión de Dependencias y Seguridad con Dependabot en GitHub

Dependabot es una herramienta integrada en GitHub que ayuda a mantener actualizadas las dependencias de tu proyecto y a detectar vulnerabilidades de seguridad en paquetes desactualizados.

📌 1️⃣ ¿Qué es Dependabot y cómo funciona?

Dependabot automatiza la actualización de dependencias en proyectos gestionados con npm, pip, Maven, Gradle, Composer, Cargo, entre otros.

🛠️ Funciones principales: ✔ Actualización automática de dependencias. ✔ Alertas de seguridad sobre paquetes vulnerables. ✔ Creación de Pull Requests para solucionar problemas detectados.

🔄 2️⃣ Activar Dependabot en un Repositorio

1️⃣ Ve a tu repositorio en GitHub. 2️⃣ Accede a "Settings" → "Security & analysis". 3️⃣ Habilita Dependabot alerts y Dependabot security updates.

📥 3️⃣ Configurar Actualizaciones Automáticas de Dependencias

Para activar Dependabot en la actualización de paquetes, crea un archivo de configuración en .github/dependabot.yml:

version: 2 updates: - package-ecosystem: "npm" # Reemplázalo según tu gestor (pip, maven, etc.) directory: "/" # Ruta del archivo de dependencias schedule: interval: "daily" # Opciones: daily, weekly, monthly open-pull-requests-limit: 5 labels: - "dependencies" ignore: - dependency-name: "lodash" # Puedes excluir paquetes específicos

📌 Personalización:

package-ecosystem: Define el gestor de dependencias (npm, pip, composer, etc.).
directory: Ubicación del archivo de dependencias.
schedule: Frecuencia de actualización.
ignore: Evita actualizaciones de paquetes específicos.

⚠ 4️⃣ Seguridad: Alertas y Parches Automáticos

Cuando GitHub detecta una vulnerabilidad en una dependencia: 🔴 Se muestra una alerta en la pestaña "Security" → "Dependabot alerts". 🟢 Dependabot puede generar automáticamente un Pull Request con una versión segura del paquete afectado.

🎯 Conclusión

✅ Mejora la seguridad al detectar y corregir vulnerabilidades automáticamente. ✅ Mantiene las dependencias actualizadas con mínimo esfuerzo. ✅ Facilita la gestión de proyectos al automatizar actualizaciones en múltiples entornos.

Gabriel Obregón

student•

🧩Dependabot y la gestión de dependencias

🔐 1. Concepto Clave

🔸 Gestión de dependencias: Mantener actualizadas las librerías externas para asegurar estabilidad, rendimiento y seguridad.

🔸 Dependabot: Asistente automatizado de GitHub que detecta vulnerabilidades, avisa de riesgos y actualiza las dependencias del proyecto.

⚙️ 2. ¿Por qué mantener los paquetes actualizados?

📦 Los paquetes de terceros facilitan tareas como:

Leer o escribir archivos JSON.
Crear APIs.
Manejar solicitudes o datos.

⚠️ Pero si no se actualizan:

Pueden contener errores o brechas de seguridad.
Afectan la estabilidad del proyecto.

✅ Mantenerlos al día significa proteger tu aplicación y evitar riesgos futuros.

🚀 3. Cómo activar Dependabot

🧭 Pasos para configurarlo en un repositorio:

1️⃣ Abre Settings o Security.

2️⃣ Entra a Code Security and Analysis.

3️⃣ Selecciona Dependabot.

4️⃣ Activa:

🔔 Alertas de seguridad.
🔄 Actualizaciones automáticas.

🗂️ Dependabot creará el archivo dependabot.yml, donde podrás definir:

🕐 Frecuencia de revisión (diaria / semanal / mensual).
🌐 Fuentes de paquetes a supervisar.

🧠 4. Gestionar versiones específicas

👩‍💻 Ejemplo práctico (.NET):

Entra al paquete que deseas revisar → Newtonsoft.Json.
Elige una versión vulnerable → 12.0.3.
Dependabot:
- 🔍 Detecta el problema.
- 📩 Notifica el riesgo.
- 🔧 Crea un pull request automático con la versión segura.

Resultado ➜ El proyecto se actualiza sin intervención manual.

⚠️ 5. Cuando Dependabot detecta una vulnerabilidad

📢 Qué hace automáticamente:

🔸 Envía una alerta prioritaria con detalles del paquete inseguro.

🔸 Crea un pull request con la versión corregida.

🔸 Permite revisar y aprobar desde:

La pestaña Security, o
Pull Requests. 🔸 Analiza la compatibilidad entre versiones antes de aplicar cambios. 🔸 Una vez fusionado, elimina la rama temporal para mantener el repositorio limpio.

💡 6. Ventajas de usar Dependabot

✨ Beneficios principales:

🔄 Automatiza actualizaciones y parches.
🛡️ Repara vulnerabilidades sin intervención manual.
🚀 Mantiene el proyecto actualizado con versiones estables.
⚙️ Simplifica la revisión de dependencias.
⏳ Ahorra tiempo y esfuerzo al equipo de desarrollo.

Brandon Argel Verdeja Domínguez

student•

Dependabot es una herramienta de GitHub que ayuda a los desarrolladores a mantener actualizadas sus dependencias. Comprueba automáticamente si tu proyecto tiene dependencias obsoletas (bibliotecas o paquetes de los que depende tu código) y puede crear solicitudes de extracción para actualizarlas a las últimas versiones. Esto ayuda a garantizar que tu proyecto siga siendo seguro, funcional y compatible con las versiones más recientes de sus dependencias.

Dependabot también realiza comprobaciones de vulnerabilidades de seguridad, te avisa si alguna de tus dependencias tiene problemas de seguridad conocidos y sugiere actualizaciones para solucionarlos.

En resumen, ¡automatiza el proceso de mantener las dependencias actualizadas y seguras!

SANTIAGO ALBERTO BOLIVAR CARDENAS.

student•

Que buen video, Gracias Profesor, Gracias Platzi.

Diego Eduardo Melgar López

student•

Hay que tener mucho cuidado con esas configuraciones de Dependabot y hacer que se haga el cambio automáticamente, el paquete más actualizado puede que no tenga ciertas características que posiblemente ya no existan en el nuevo paquete!

Así que es bueno tener el dependabot, pero no confiaría de que lo haga automáticamente, preferiría hacerlo manual y verificar que toda la solución funcione tal como debeería con el cambio que se subió

Jhon Freddy Tavera Blandon

student•

WOW Gran Herramienta