Cuando Dependabot encuentra errores al actualizar sus dependencias, puede usar esta referencia para diagnosticar y resolver problemas comunes.
Visualización de errores
Errores de actualización de seguridad
Cuando se bloquea al Dependabot y no puede crear una solicitud de cambios para arreglar una alerta del Dependabot, éste publica el mensaje de error en la alerta. La vista de Dependabot alerts muestra una lista de cualquier alerta que aún no se haya resuelto. Para acceder a la vista de alertas, haga clic en Dependabot alerts en la pestaña Security (Seguridad) del repositorio. Donde sea que se genere una solicitud de cambios que arregle una dependencia vulnerable, la alerta incluirá un enlace a dicha solicitud.
Es posible que una alerta no tenga ningún vínculo de solicitud de incorporación de cambios por varias razones:
- No se han habilitado las Dependabot security updates en el repositorio.
- La alerta es para una dependencia transitoria o indirecta que no se definió explícitamente en un archivo de bloqueo.
- Un error bloqueó al Dependabot y éste no puede crear una solicitud de cambios.
Para ver los detalles del error, haga clic en la alerta.
Errores de actualización de versiones
Cuando se impide que Dependabot cree una solicitud de cambios para actualizar una dependencia en un ecosistema, puedes ver los registros de trabajos para obtener más información sobre el error.
La lista de registros de trabajos es accesible desde el gráfico de dependencias de un repositorio. En el gráfico de dependencias, haga clic en la pestaña Dependabot y, a continuación, a la derecha del archivo de manifiesto afectado, haga clic en Trabajos de actualización recientes.
Para ver los archivos de registro completos de un trabajo determinado, a la derecha de la entrada de registro que le interesa, haga clic en Ver registros.
Para más información, consulta Visualización de registros de trabajos de Dependabot.
Errores de resolución de dependencias
No se puede actualizar DEPENDENCY a una versión no vulnerable
**Se aplica a:** Solo actualizaciones de seguridad
**Mensaje de error:**`Dependabot cannot update DEPENDENCY to a non-vulnerable version`
Dependabot no puede crear una solicitud de incorporación de cambios a fin de actualizar la dependencia vulnerable a una versión segura sin interrumpir otras dependencias del gráfico de dependencias para este repositorio.
Cada aplicación que tenga dependencias tiene una gráfica de dependencias, esto es, una gráfica acíclica dirigida de cada versión de paquete de la cual depende la aplicación directa o indirectamente. Cada vez que se actualiza una dependencia, esta gráfica debe resolverse o la aplicación no se compilará. Cuando un ecosistema tiene una gráfica de dependencias profunda y compleja, por ejemplo, npm y RubyGems, es a menudo imposible mejorar una sola dependencia sin mejorar todo el ecosistema.
**Resolución:** Manténgase al día con las versiones publicadas más recientemente, por ejemplo, habilitando las actualizaciones de versión. Esto aumenta la probabilidad de que una vulnerabilidad en alguna dependencia pueda resolverse con una mejora simple que no afecte la gráfica de dependencias. Consulta [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).
Actualiza las dependencias sin una alerta.
**Se aplica a:** Solo actualizaciones de seguridad
**Mensaje de error:**`Dependabot tries to update dependencies without an alert`
Dependabot actualiza las dependencias transitivas definidas explícitamente como vulnerables para todos los ecosistemas. En el caso de npm, Dependabot generará una solicitud de incorporación de cambios que también actualiza la dependencia primaria si es la única manera de corregir la dependencia transitiva.
Por ejemplo, un proyecto con una dependencia de A versión ~2.0.0 que tiene una dependencia transitiva de B versión ~1.0.0 que se ha resuelto en 1.0.1.
my project
|
--> A (2.0.0) [~2.0.0]
|
--> B (1.0.1) [~1.0.0]
Si se publica una vulnerabilidad de seguridad para versiones B``<2.0.0 y hay una revisión disponible en 2.0.0, Dependabot intentará actualizar B, pero se encontrará con que no es posible debido a la restricción implementada por A, que solo permite versiones vulnerables más bajas. Para corregir la vulnerabilidad, Dependabot buscará actualizaciones de la dependencia de A que permitan usar la versión fija de B.
Dependabot genera automáticamente una solicitud de incorporación de cambios que actualiza las dependencias transitivas primarias y secundarias bloqueadas.
No se puede cerrar la solicitud de incorporación de cambios para una actualización que ya se ha aplicado
**Mensaje de error:**`Dependabot fails to close a open pull request for an update that has already been applied on the default branch`
Dependabot cerrará las solicitudes de incorporación de cambios para las actualizaciones de dependencias, una vez que detecte que estas actualizaciones se han confirmado en la rama predeterminada. Sin embargo, en raras circunstancias, la solicitud de incorporación de cambios puede permanecer abierta.
**Resolución:** Si observa que ha confirmado una actualización de una dependencia manualmente y que la solicitud de incorporación de cambios para esa misma actualización sigue abierta, puede usar uno de los siguientes comandos en un comentario en la solicitud de incorporación de cambios:
*
@dependabot recreate o
*
@dependabot rebase.
Cualquier comentario desencadenará Dependabot para comprobar si la dependencia ya no es actualizable o vulnerable. Si Dependabot detecta que la solicitud de incorporación de cambios ya no es necesaria, cerrará la solicitud de incorporación de cambios en este caso concreto.
Para obtener más información sobre los comandos de comentario Dependabot, consulte Administrar las solicitudes de extracción para las actualizaciones de dependencia.
No se puede actualizar a la versión necesaria, ya que ya hay una solicitud de incorporación de cambios abierta para la versión más reciente
**Se aplica a:** Solo actualizaciones de seguridad
**Mensaje de error:**`Dependabot cannot update to the required version as there is already an open pull request for the latest version`
Dependabot no creará una solicitud de incorporación de cambios a fin de actualizar la dependencia vulnerable a una versión segura porque ya hay una solicitud de incorporación de cambios abierta para actualizar esta dependencia. Verás éste error cuando se detecte una vulnerabilidad en una dependencia específica y ya exista una solicitud de cambios abierta para actualizar dicha dependencia a la última versión disponible.
**Resolución:** Puede revisar la solicitud de incorporación de cambios abierta y combinarla en cuanto esté seguro de que el cambio es seguro o cerrar esa solicitud de incorporación de cambios y desencadenar una nueva solicitud de incorporación de cambios de actualización de seguridad. Consulte [Desencadenamiento manual de una solicitud de incorporación de cambios de Dependabot](#triggering-a-dependabot-pull-request-manually).
No se necesita ninguna actualización de seguridad
**Se aplica a:** Solo actualizaciones de seguridad
**Mensaje de error:**`No security update is needed as DEPENDENCY is no longer vulnerable`
Dependabot no puede cerrar una solicitud de incorporación de cambios para actualizar una dependencia que no sea o haya dejado de ser vulnerable. Puede vea este error si los datos del gráfico de dependencias están obsoletos o cuando el gráfico de dependencias y Dependabot no coincidan en determinar si una versión determinada de una dependencia es vulnerable.
**Resolución:** En primer lugar, examine el gráfico de dependencias del repositorio, revise la versión que ha detectado para la dependencia y compruebe si la versión identificada coincide con lo que se usa en el repositorio.
Si sospecha que los datos del gráfico de dependencias no están actualizados, es posible que tenga que actualizar manualmente el gráfico de dependencias para el repositorio o investigar la información de la dependencia más adelante. Consulta Solución de problemas del gráfico de dependencias.
Si puede confirmar que la versión de dependencia ya no es vulnerable, puede cerrar la solicitud de incorporación de cambios de Dependabot.
Errores de solicitud de incorporación de cambios
Se alcanzó el límite de solicitudes de incorporación de cambios
**Mensaje de error:**`Dependabot cannot open any more pull requests`
Hay un límite en la cantidad de solicitudes de cambios abiertas que el Dependabot puede generar. Cuando se llega a éste límite, no se podrán abrir más solicitudes de cambios y se reportará este error.
**Límites:**
- Solicitudes de incorporación de cambios de actualizaciones de seguridad: 10
- Solicitudes de incorporación de cambios de actualización de versiones: 5 (configurable mediante
open-pull-requests-limit)
Hay límites separados para las solicitudes de cambios de actualización de seguridad y de versión, y esto es para que aquellas de actualización de versión no bloqueen la creación de las de actualización de seguridad. Para más información, consulta Referencia de opciones de Dependabot.
**Resolución:** Combine o cierre algunas de las solicitudes de incorporación de cambios existentes y desencadene manualmente una nueva solicitud de incorporación de cambios. consulte [Desencadenamiento manual de una solicitud de incorporación de cambios de Dependabot](#triggering-a-dependabot-pull-request-manually).
Errores de tiempo de espera y rendimiento
Tiempo de espera de la actualización agotado
**Mensaje de error:**`Dependabot timed out during its update`
El Dependabot tardó más del límite de tiempo máximo permitido para valorar la actualización requerida y preparar una solicitud de cambios. Este error normalmente se ve únicamente en los repositorios de gran tamaño con muchos archivos de manifiesto, por ejemplo, en los proyectos de npm o yarn de un repositorio, que tienen cientos de archivos package.json. Las actualizaciones en el ecosistema de Composer también llevan más tiempo para su valoración y podrían exceder el tiempo de espera.
**Resolución de actualizaciones de versiones:** Especifique las dependencias más importantes que se van a actualizar mediante el `allow` parámetro o, como alternativa, use el `ignore` parámetro para excluir algunas dependencias de las actualizaciones. El actualizar tu configuración podría permitir que el Dependabot revise la actualización de versión y genere la solicitud de cambios en el tiempo disponible.
**Resolución de actualizaciones de seguridad:** Reduzca las posibilidades de tiempos de espera al mantener actualizadas las dependencias, por ejemplo, habilitando las actualizaciones de versión. Para más información, consulta [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).
Errores de agrupación
No se pudieron agrupar las dependencias (actualizaciones de versión)
**Se aplica a:** Solo actualizaciones de versión
**Mensaje de error:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot version updates`
Las opciones de configuración groups del archivo dependabot.yml se pueden aplicar a las actualizaciones de versión y a las actualizaciones de seguridad. Use la clave applies-to para especificar dónde (actualizaciones de versión o actualizaciones de seguridad) se aplica un conjunto de reglas de agrupación.
No se puede aplicar un único conjunto de reglas de agrupación a las actualizaciones de versión y a las actualizaciones de seguridad. En su lugar, si desea agrupar las actualizaciones de versiones y las actualizaciones de seguridad con los mismos criterios, debe definir dos conjuntos de reglas de agrupación con nombre por separado.
Al configurar las actualizaciones de versiones agrupadas, debe configurar grupos por ecosistema de paquetes.
**Causa común: grupos vacíos:** Es posible que haya creado grupos vacíos involuntariamente. Por ejemplo, esto sucede cuando se define un `dependency-type` en la clave `allow` para todo el trabajo.
allow:
dependency-type: production
# this restricts the entire job to production dependencies
groups:
development-dependencies:
dependency-type: "development"
# this group will always be empty
allow:
dependency-type: production
# this restricts the entire job to production dependencies
groups:
development-dependencies:
dependency-type: "development"
# this group will always be empty
En este ejemplo, el Dependabot hará lo siguiente:
- Examinará la lista de dependencias y restringirá el trabajo a las dependencias usadas solo en
production. - Intentará crear un grupo denominado
development-dependencies, que es un subconjunto de esta lista reducida. - Descubrirá que el grupo
development-dependenciesestá vacío, ya que todas las dependencias dedevelopmentse quitaron en el paso 1. -
Actualizará **individualmente** todas las dependencias que no están en el grupo. Puesto que el grupo de dependencias de producción está vacío, el Dependabot omitirá el grupo y creará una solicitud de incorporación de cambios independiente para cada dependencia. **Resolución:** Asegúrese de que las opciones de configuración no se cancelen entre sí y actualícelas correctamente en el archivo de configuración. Para depurar el problema, examine los registros. Para obtener información sobre cómo acceder a los registros de un manifiesto, vea [Cómo ver errores](#how-to-view-errors).
Para obtener más información sobre la configuración de grupos para Dependabot version updates, consulta Referencia de opciones de Dependabot.
No se pudieron agrupar las dependencias (actualizaciones de seguridad)
**Se aplica a:** Solo actualizaciones de seguridad
**Mensaje de error:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot security updates`
Las opciones de configuración groups del archivo dependabot.yml se pueden aplicar a las actualizaciones de versión y a las actualizaciones de seguridad. Use la clave applies-to para especificar dónde (actualizaciones de versión o actualizaciones de seguridad) se aplica un conjunto de reglas de agrupación. Compruebe que tiene la agrupación configurada para aplicar a las actualizaciones de seguridad. Si la clave applies-to no existe en un conjunto de reglas de agrupación en la configuración, las reglas de grupo solo se aplicarán de forma predeterminada a las actualizaciones de versión.
No se puede aplicar un único conjunto de reglas de agrupación a las actualizaciones de versión y a las actualizaciones de seguridad. En su lugar, si desea agrupar las actualizaciones de versiones y las actualizaciones de seguridad con los mismos criterios, debe definir dos conjuntos de reglas de agrupación con nombre por separado.
**Directrices de agrupación para las actualizaciones de seguridad:**
- Dependabot agrupará las dependencias del mismo ecosistema de paquetes que se encuentran en directorios diferentes cuando se especifiquen reglas de agrupación para las configuraciones que utilicen la clave
directories. - Dependabot aplicará otras opciones de personalización pertinentes del archivo
dependabot.ymla las solicitudes de cambios para las actualizaciones de seguridad agrupadas. Las reglas de grupo configuradas en un archivodependabot.ymlinvalidarán la configuración de la interfaz de usuario para habilitar o deshabilitar las actualizaciones de seguridad agrupadas en el nivel de organización o repositorio. - Dependabot no agrupará las dependencias de diferentes ecosistemas de paquetes.
- Dependabot no agrupará las actualizaciones de seguridad con las actualizaciones de versión.
Para más información, consulta Sobre las actualizaciones de seguridad de Dependabot y Personalización de solicitudes de incorporación de cambios para actualizaciones de seguridad de Dependabot.
No se pudo actualizar la dependencia en la solicitud de incorporación de cambios agrupada
**Mensaje de error:**`Dependabot fails to update one of the dependencies in a grouped pull request`
Puedes usar diferentes técnicas de solución de problemas para las actualizaciones de versión y de seguridad con errores.
Actualizaciones de versiones
**Se aplica a:** Solo actualizaciones de versión
Dependabot mostrará la actualización errónea en los registros, así como en el resumen del trabajo al final de los registros.
**Resolución:**
- Use el comentario de
@dependabot recreateen la solicitud de incorporación de cambios para volver a compilar el grupo. Consulta Administrar las solicitudes de extracción para las actualizaciones de dependencia. - Si la dependencia sigue sin actualizarse, use la
exclude-patternsconfiguración para que la dependencia se excluya del grupo. Dependabot generará una solicitud de incorporación de cambios independiente para actualizar la dependencia. - Si la dependencia sigue sin actualizarse, puede haber un problema con la propia dependencia, o con Dependabot para ese ecosistema específico.
Si deseas omitir las actualizaciones de la dependencia, debes realizar una de las acciones siguientes.
- Configura una regla
ignorepara la dependencia en el archivodependabot.yml. Para más información, consulta Referencia de opciones de Dependabot. - Usa el comando de comentario
@dependabot ignorepara la dependencia en la solicitud de incorporación de cambios para las actualizaciones agrupadas. Para más información, consulta Administrar las solicitudes de extracción para las actualizaciones de dependencia.
Actualizaciones de seguridad
**Se aplica a:** Solo actualizaciones de seguridad
Si se produce un error en una solicitud de incorporación de cambios agrupada para las actualizaciones de seguridad o no se puede combinar, abra manualmente las solicitudes de incorporación de cambios para aumentar las versiones de cambios importantes. Al actualizar manualmente un paquete que se incluye en una solicitud de incorporación de cambios agrupada, Dependabot volverá a base de la solicitud de incorporación de cambios para que no incluya el paquete actualizado manualmente.
Si deseas omitir las actualizaciones de la dependencia, debes realizar una de las acciones siguientes.
- Configura una regla
ignorepara la dependencia en el archivodependabot.yml. Para más información, consulta Referencia de opciones de Dependabot. - Usa el comando de comentario
@dependabot ignorepara la dependencia en la solicitud de incorporación de cambios para las actualizaciones agrupadas. Para más información, consulta Administrar las solicitudes de extracción para las actualizaciones de dependencia.
Falla la integración continua en el pull request agrupado
**Se aplica a:** Solo actualizaciones de versión
**Mensaje de error:**`Continuous integration (CI) fails on my grouped pull request`
**Resolución:**
Si el error se debe a una sola dependencia, use la exclude-patterns configuración para que la dependencia se excluya del grupo. Dependabot generará una solicitud de incorporación de cambios independiente para actualizar la dependencia.
Si deseas omitir las actualizaciones de la dependencia, debes realizar una de las acciones siguientes.
- Configura una regla
ignorepara la dependencia en el archivodependabot.yml. Para más información, consulta Referencia de opciones de Dependabot. - Usa el comando de comentario
@dependabot ignorepara la dependencia en la solicitud de incorporación de cambios para las actualizaciones agrupadas. Para más información, consulta Administrar las solicitudes de extracción para las actualizaciones de dependencia.
Si sigue viendo errores de CI, quite la configuración del grupo para que Dependabot vuelva a generar solicitudes de incorporación de cambios individuales por cada dependencia. A continuación, compruebe y confirme que la actualización funciona correctamente para cada solicitud de incorporación de cambios individual.
Errores de autenticación y registro
No se pueden resolver ni acceder a las dependencias
**Mensaje de error:**`Dependabot can't resolve your LANGUAGE dependency files`
**Tipo de error de API:**`git_dependencies_not_reachable`
Si Dependabot intenta comprobar si es necesario actualizar las referencias de dependencia en un repositorio, pero no puede acceder a uno o varios de los archivos a los que se hace referencia, se producirá un error en la operación.
Errores del registro de paquetes privados
Dependabot puede generar uno de los siguientes errores cuando no puede acceder a un repositorio privado de paquetes:
| Mensaje de error | Tipo de error de API |
|---|---|
| "Dependabot no puede acceder a una dependencia en un registro de paquetes privado" | private_source_not_reachable |
| "Dependabot no puede autenticar en un registro de paquetes privado" | private_source_authentication_failure |
| Se agotó el tiempo de espera de "Dependabot mientras se esperaba un registro de paquete privado" | private_source_timed_out |
| "Dependabot no pudo validar el certificado para un registro de paquetes privado" | private_source_certificate_failure |
**Resolución:** Asegúrese de que todas las dependencias a las que se hace referencia se hospedan en ubicaciones accesibles.
**Solo actualizaciones de versión:** Cuando ejecutas actualizaciones de versión o de seguridad, algunos ecosistemas deberán poder resolver todas las dependencias de su fuente para verificar que las actualizaciones sean exitosas. Si tus archivos de manifiesto o de bloqueo contienen cualquier dependencia privada, el Dependabot deberá poder acceder a la ubicación en la que se hospedan dichas dependencias. Los propietarios de las organizaciones pueden otorgar acceso al Dependabot para los repositorios privados que contengan dependencias para un proyecto dentro de la misma organización. Para más información, consulta [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization#allowing-dependabot-to-access-private-or-internal-dependencies). Puede configurar el acceso a los registros privados en el archivo de configuración `dependabot.yml` de un repositorio. Para más información, consulta [AUTOTITLE](/code-security/dependabot/working-with-dependabot/configuring-access-to-private-registries-for-dependabot). Adicionalmente, el Dependabot no es compatible con dependencias privadas de GitHub para todos los administradores de paquetes. Consulta [AUTOTITLE](/code-security/dependabot/ecosystems-supported-by-dependabot/supported-ecosystems-and-repositories).
Activar una solicitud de cambios del Dependabot manualmente
Si desbloqueas al Dependabot, puedes activar manualmente un nuevo intento de crear una solicitud de cambios.
**Para las actualizaciones de seguridad:** Muestra la alerta Dependabot que muestra el error que ha corregido y haga clic en **Crear Dependabot actualización de seguridad**.
**Para actualizaciones de versión:**: en la pestaña **Información** del repositorio, haga clic en **Gráfico de dependencias** y luego en la pestaña **Dependabot**. Haga clic en **Última comprobación hace _TIME_** para ver el archivo de registro que Dependabot ha generado durante la última comprobación de actualizaciones de versión. Haga clic en **Buscar actualizaciones**.
Lectura adicional
-
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph) -
[AUTOTITLE](/code-security/reference/supply-chain-security/troubleshoot-dependabot/vulnerable-dependency-detection)