{"meta":{"title":"Revisar los cambios en las dependencias en un pull request","intro":"Si una solicitud de cambios contiene cambios a las dependencias, puedes ver un resumen de lo que ha cambiado y si es que existen vulnerabilidades conocidas en cualquiera de estas dependencias.","product":"Solicitudes de incorporación de cambios","breadcrumbs":[{"href":"/es/pull-requests","title":"Solicitudes de incorporación de cambios"},{"href":"/es/pull-requests/collaborating-with-pull-requests","title":"Colabora con solicitudes de incorporación de cambios"},{"href":"/es/pull-requests/collaborating-with-pull-requests/reviewing-changes-in-pull-requests","title":"Revisión de los cambios"},{"href":"/es/pull-requests/collaborating-with-pull-requests/reviewing-changes-in-pull-requests/reviewing-dependency-changes-in-a-pull-request","title":"Revisión de los cambios de dependencia"}],"documentType":"article"},"body":"# Revisar los cambios en las dependencias en un pull request\n\nSi una solicitud de cambios contiene cambios a las dependencias, puedes ver un resumen de lo que ha cambiado y si es que existen vulnerabilidades conocidas en cualquiera de estas dependencias.\n\n<!--Marketing-LINK: From /features/security/software-supply-chain page \"Sign up for the dependency review versión preliminar pública\" and \"Reviewing dependency changes in a pull request\".-->\n\n## Acerca de la revisión de dependencias\n\nLa revisión de dependencias te permite entender los cambios a las dependencias y el impacto de seguridad de estos cambios en cada solicitud de cambios. Proporciona una visualización fácil de entender para los cambios de dependencia con un diferencial importante en la pestaña \"Archivos cambiados\" de una solicitud de incorporación de cambios. La revisión de dependencias te informa sobre:\n\n* Qué dependencias se agregaron, eliminaron o actualizaron junto con las fechas de lanzamiento\n* Cuántos proyectos utilizan estos componentes\n* Datos de las vulnerabilidades para estas dependencias\n\nLa revisión de dependencias te permite \"desplazarte a la izquierda\". Puedes utilizar la información predictiva que se te proporciona para detectar dependencias vulnerables antes de que lleguen a tu ambiente productivo. Para más información, consulta [Revisión de dependencias](/es/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review).\n\nPuedes usar Acción de revisión de dependencias para ayudar a hacer cumplir las revisiones de dependencias en los pull requests de tu repositorio. La Acción de revisión de dependencias examina las solicitudes de incorporación de cambios de dependencia y genera un error si las nuevas dependencias tienen vulnerabilidades conocidas. La acción es compatible con un punto de conexión de API que compara las dependencias entre dos revisiones e informa de las diferencias.\n\nPara más información sobre la acción y el punto de conexión de API, consulta la documentación de [`dependency-review-action`](https://github.com/actions/dependency-review-action) y [Puntos de conexión de la API de REST para la revisión de dependencias](/es/rest/dependency-graph/dependency-review).\n\nPuedes configurar Acción de revisión de dependencias para que se adapte mejor a tus necesidades especificando el tipo de vulnerabilidad de dependencias que quieres detectar. Para más información, consulta [Configuración de la acción de revisión de dependencias](/es/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-review-action).\n\n## Revisar las dependencias en un pull request\n\n1. En el nombre del repositorio, haz clic en **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-git-pull-request\" aria-label=\"git-pull-request\" role=\"img\"><path d=\"M1.5 3.25a2.25 2.25 0 1 1 3 2.122v5.256a2.251 2.251 0 1 1-1.5 0V5.372A2.25 2.25 0 0 1 1.5 3.25Zm5.677-.177L9.573.677A.25.25 0 0 1 10 .854V2.5h1A2.5 2.5 0 0 1 13.5 5v5.628a2.251 2.251 0 1 1-1.5 0V5a1 1 0 0 0-1-1h-1v1.646a.25.25 0 0 1-.427.177L7.177 3.427a.25.25 0 0 1 0-.354ZM3.75 2.5a.75.75 0 1 0 0 1.5.75.75 0 0 0 0-1.5Zm0 9.5a.75.75 0 1 0 0 1.5.75.75 0 0 0 0-1.5Zm8.25.75a.75.75 0 1 0 1.5 0 .75.75 0 0 0-1.5 0Z\"></path></svg> Pull requests**.\n\n   ![Captura de pantalla de la página principal de un repositorio. En la barra de navegación horizontal, una pestaña, con la etiqueta \"Solicitudes de incorporación de cambios\", se destaca en naranja oscuro.](/assets/images/help/repository/repo-tabs-pull-requests-global-nav-update.png)\n\n2. En la lista de solicitudes de incorporación de cambios, haga clic en la que quiera revisar.\n\n3. En la solicitud de incorporación de cambios, haz clic en **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-file-diff\" aria-label=\"file-diff\" role=\"img\"><path d=\"M1 1.75C1 .784 1.784 0 2.75 0h7.586c.464 0 .909.184 1.237.513l2.914 2.914c.329.328.513.773.513 1.237v9.586A1.75 1.75 0 0 1 13.25 16H2.75A1.75 1.75 0 0 1 1 14.25Zm1.75-.25a.25.25 0 0 0-.25.25v12.5c0 .138.112.25.25.25h10.5a.25.25 0 0 0 .25-.25V4.664a.25.25 0 0 0-.073-.177l-2.914-2.914a.25.25 0 0 0-.177-.073ZM8 3.25a.75.75 0 0 1 .75.75v1.5h1.5a.75.75 0 0 1 0 1.5h-1.5v1.5a.75.75 0 0 1-1.5 0V7h-1.5a.75.75 0 0 1 0-1.5h1.5V4A.75.75 0 0 1 8 3.25Zm-3 8a.75.75 0 0 1 .75-.75h4.5a.75.75 0 0 1 0 1.5h-4.5a.75.75 0 0 1-.75-.75Z\"></path></svg> Archivos cambiados**.\n\n   ![Captura de pantalla de las pestañas de una solicitud de incorporación de cambios. La pestaña \"Archivos cambiados\" está resaltada en naranja oscuro.](/assets/images/help/pull_requests/pull-request-tabs-changed-files.png)\n\n4. Si la solicitud de incorporación de cambios contiene muchos archivos, use el menú desplegable **Filtro de archivos** para contraer todos los archivos que no registren dependencias. Esto facilitará enfocar tu revisión en los cambios de las dependencias.\n\n![Captura de pantalla de la pestaña \"Archivos cambiados\". Se expande una lista desplegable con la etiqueta \"Filtro de archivos\", que muestra una lista de tipos de archivo con casillas.](/assets/images/help/pull_requests/file-filter-menu-json.png)\nLa revisión de dependencias proporciona una vista más clara de lo que ha cambiado en los archivos de bloqueo grandes, donde las diferencias de origen no se representan de manera predeterminada.\n\n> \\[!NOTE]\n> Las diferencias enriquecidas de revisión de dependencias no están disponibles para los archivos estáticos de JavaScript confirmados, como `jquery.js`.\n\n1. A la derecha del encabezado de un archivo de bloqueo o manifiesto, haz clic en **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-file\" aria-label=\"Display the rich diff\" role=\"img\"><path d=\"M2 1.75C2 .784 2.784 0 3.75 0h6.586c.464 0 .909.184 1.237.513l2.914 2.914c.329.328.513.773.513 1.237v9.586A1.75 1.75 0 0 1 13.25 16h-9.5A1.75 1.75 0 0 1 2 14.25Zm1.75-.25a.25.25 0 0 0-.25.25v12.5c0 .138.112.25.25.25h9.5a.25.25 0 0 0 .25-.25V6h-2.75A1.75 1.75 0 0 1 9 4.25V1.5Zm6.75.062V4.25c0 .138.112.25.25.25h2.688l-.011-.013-2.914-2.914-.013-.011Z\"></path></svg>** para mostrar la revisión de dependencias.\n\n   ![Captura de pantalla de la pestaña \"Cambios en archivos\" de una solicitud de incorporación de cambios. El botón para mostrar la diferencia enriquecida, etiquetada con un icono de archivo, está resaltado en naranja oscuro.](/assets/images/help/pull_requests/dependency-review-rich-diff.png)\n\n2. Verifica las dependencias que se listan en la revisión de dependencias.\n\n   ![Captura de pantalla de las advertencias de vulnerabilidades en una revisión de dependencias para una solicitud de incorporación de cambios.](/assets/images/help/pull_requests/dependency-review-vulnerability.png)\n\n   Cualquier dependencia que se cambie o agregue y que tenga vulnerabilidades se listará primero, se organizará por severidad y luego por nombre de dependencia. Esto significa que las dependencias de mayor gravedad están siempre al principio de la revisión de dependencias. El resto de las dependencias se lista por orden alfabético de acuerdo con el nombre de la dependencia.\n\n   El icono junto a cada dependencia indica si se ha agregado (<span style=\"color:#22863a\"><svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-diff-added\" aria-label=\"Dependency added icon\" role=\"img\"><path d=\"M2.75 1h10.5c.966 0 1.75.784 1.75 1.75v10.5A1.75 1.75 0 0 1 13.25 15H2.75A1.75 1.75 0 0 1 1 13.25V2.75C1 1.784 1.784 1 2.75 1Zm10.5 1.5H2.75a.25.25 0 0 0-.25.25v10.5c0 .138.112.25.25.25h10.5a.25.25 0 0 0 .25-.25V2.75a.25.25 0 0 0-.25-.25ZM8 4a.75.75 0 0 1 .75.75v2.5h2.5a.75.75 0 0 1 0 1.5h-2.5v2.5a.75.75 0 0 1-1.5 0v-2.5h-2.5a.75.75 0 0 1 0-1.5h2.5v-2.5A.75.75 0 0 1 8 4Z\"></path></svg></span>), actualizado (<span style=\"color:#b08800\"><svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-diff-modified\" aria-label=\"Dependency modified icon\" role=\"img\"><path d=\"M13.25 1c.966 0 1.75.784 1.75 1.75v10.5A1.75 1.75 0 0 1 13.25 15H2.75A1.75 1.75 0 0 1 1 13.25V2.75C1 1.784 1.784 1 2.75 1ZM2.75 2.5a.25.25 0 0 0-.25.25v10.5c0 .138.112.25.25.25h10.5a.25.25 0 0 0 .25-.25V2.75a.25.25 0 0 0-.25-.25ZM8 10a2 2 0 1 1-.001-3.999A2 2 0 0 1 8 10Z\"></path></svg></span>) o eliminado (<span style=\"color:#cb2431\"><svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-diff-removed\" aria-label=\"Dependency removed icon\" role=\"img\"><path d=\"M13.25 1c.966 0 1.75.784 1.75 1.75v10.5A1.75 1.75 0 0 1 13.25 15H2.75A1.75 1.75 0 0 1 1 13.25V2.75C1 1.784 1.784 1 2.75 1ZM2.75 2.5a.25.25 0 0 0-.25.25v10.5c0 .138.112.25.25.25h10.5a.25.25 0 0 0 .25-.25V2.75a.25.25 0 0 0-.25-.25Zm8.5 6.25h-6.5a.75.75 0 0 1 0-1.5h6.5a.75.75 0 0 1 0 1.5Z\"></path></svg></span>) en esta solicitud de incorporación de cambios.\n\n   El resto de la información incluye:\n\n   * La versión o rango de versiones de la dependencia nueva, actualizada o borrada.\n   * Para el caso de las versiones específicas de una dependencia:\n     * La antigüedad del lanzamiento de la dependencia.\n     * La cantidad de proyectos que dependen de este software. Esta información se toma de la gráfica de dependencias. Verificar el número de dependencias puede ayudarte a evitar agregar accidentalmente la dependencia incorrecta.\n     * La licencia que utiliza esta dependencia si es que esta información se encuentra disponible. Esto es útil si quieres evitar el código que utilice licencias específicas, el cual utilizas en tu proyecto.\n\n   Cuando una dependencia tiene una vulnerabilidad conocida, el mensaje de advertencia incluye:\n\n   * Una descripción breve de la vulnerabilidad.\n   * Un archivo de Vulnerabilidades y Exposiciones Comunes (CVE) o un número de identificación (GHSA) de GitHub Security Advisories. Puedes dar clic en esta ID para conocer más sobre la vulnerabilidad.\n   * La severidad de la vulnerabilidad.\n   * La versión de la dependencia en la cual se arregló la vulnerabilidad. Si estás revisando un pull request para alguien, puedes pedir al contribuyente que actualice la dependencia a la versión corregida o a una versión más reciente.\n\n3. Puede que también quieras revisar el diff origen, ya que podría haber cambios en el archivo de bloqueo o de manifiesto que no cambian de dependencia o podrían haber dependencias que GitHub no puede procesar, las cuales, como resultado, no aparecen en la revisión de dependencias.\n\n   Para regresar a la vista de diferencias de origen, haz clic en el botón **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-code\" aria-label=\"Display the source diff\" role=\"img\"><path d=\"m11.28 3.22 4.25 4.25a.75.75 0 0 1 0 1.06l-4.25 4.25a.749.749 0 0 1-1.275-.326.749.749 0 0 1 .215-.734L13.94 8l-3.72-3.72a.749.749 0 0 1 .326-1.275.749.749 0 0 1 .734.215Zm-6.56 0a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042L2.06 8l3.72 3.72a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L.47 8.53a.75.75 0 0 1 0-1.06Z\"></path></svg>** .\n\n   ![Captura de pantalla de la pestaña \"Archivos cambiados\" de una solicitud de incorporación de cambios. El botón para mostrar las diferencias de origen, que se muestra con un icono de código, está resaltado en naranja.](/assets/images/help/pull_requests/dependency-review-source-diff.png)"}