Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Publicar uma consultoria de segurança

Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto.

Neste artigo

Qualquer pessoa com permissão de administrador para um consultor de segurança pode publicar a consultoria de segurança.

Pré-requisitos

Antes de publicar uma consultoria de segurança ou solicitar um número de identificação CVE, você deve criar um rascunho da consultoria de segurança e fornecer informações sobre as versões do seu projeto afetadas pela vulnerabilidade de segurança. Para obter mais informações, consulte "Criar uma consultoria de segurança".

Se você criou uma consultoria de segurança, mas ainda não forneceu as informações sobre as versões do seu projeto que a vulnerabilidade de segurança afeta, você pode editar a consultoria de segurança. Para obter mais informações, consulte "Editar um consultor de segurança".

Sobre a publicação de uma consultoria de segurança

Ao publicar uma consultoria de segurança, você notifica a sua comunidade sobre a vulnerabilidade de segurança que a consultoria de segurança aborda. A publicação de uma consultoria de segurança torna mais fácil para a sua comunidade atualizar as dependências do pacote e pesquisar o impacto da vulnerabilidade de segurança.

Você também pode usar Aviso de Segurança do GitHub para republicar as informações de uma vulnerabilidade de segurança que você já revelou em outro lugar, copiando e colando as informações de vulnerabilidade em uma nova consultoria de segurança.

Antes de publicar uma consultoria de segurança, você pode colaborar de forma privada para consertar a vulnerabilidade em uma bifurcação privada temporária. Para obter mais informações, consulte "Colaborar em uma bifurcação privada temporária para resolver uma vulnerabilidade de segurança".

Aviso: Sempre que possível, você deve adicionar uma versão de correção a uma consultoria de segurança antes de publicá-la. Se você não fizer isso, a sua consultoria será publicado sem uma versão de correção e Dependabot alertará os seus usuários sobre o problema, sem oferecer qualquer versão segura para a qual atualizar.

Recomendamos que você tome as seguintes medidas nestas situações diferentes:

  • Se uma versão de correção estiver disponível imediatamente, e você puder, espere para divulgar o problema quando a correção estiver pronta.
  • Se uma versão de correção estiver em desenvolvimento mas ainda não disponível, mencione isso no consultor e edite a consultoria mais tarde, após a publicação.
  • Se você não está planejando corrigir o problema, tenha isso claro na consultoria para que os usuários não entrem em contato com você para perguntar quando será feita uma correção. Neste caso, é útil incluir as etapas que os usuários podem seguir para mitigar o problema.

Ao publicar um rascunho de consultoria a partir de um repositório público, todos poderão ver:

  • A versão atual dos dados da consultoria.
  • Todos os créditos da consultoria que os usuários creditados aceitaram.

Observação: O público em geral nunca terá acesso ao histórico de edição da consultoria e só verá a versão publicada.

Depois de publicar uma consultoria de segurança, sua URL permanecerá a mesma de antes da publicação da consultoria de segurança. Qualquer pessoa com acesso de leitura ao repositório pode ver a consultoria de segurança. Os colaboradores na consultoria de segurança podem continuar a visualizar conversas anteriores, incluindo o fluxo de comentários completo na consultoria de segurança, a menos que alguém com permissões de administração remova o colaborador da consultoria de segurança.

Se você precisar atualizar ou corrigir informações em uma consultoria de segurança que publicou, poderá editar a consultoria de segurança. Para obter mais informações, consulte "Editar um consultor de segurança".

Solicitar um número de identificação CVE

Qualquer pessoa com permissão de administrador a uma consultora de segurança pode solicitar um número de identificação CVE para a consultoria de segurança.

Se você ainda não tem um número de identificação CVE para a vulnerabilidade de segurança no seu projeto, você pode solicitar um número de identificação CVE a partir de GitHub. GitHub geralmente revisa o pedido em 72 horas. Solicitar um número de identificação CVE não torna público a sua consultoria de segurança público. Se a sua consultoria de segurança for elegível para um CVE, GitHub reservará um número de identificação CVE para sua consultoria. Posteriormente, publicaremos os dados do CVE após publicar a consultoria de segurança. Para obter mais informações, consulte "Sobre o Aviso de Segurança do GitHub.

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança.
    Guia de segurança
  3. Na barra lateral esquerda, clique em Consultoria de segurança.
    Aba de consultoria de segurança
  4. Na lista "consultoria de segurança", clique na consultoria de segurança para o qual deseja solicitar um número de identificação CVE.
    Consultoria de segurança na lista
  5. Use o menu suspenso Publicar consultoria e clique em Solicitar CVE.
    Solicitar CVE no menu suspenso
  6. Clique Solicitar CVE.
    Botão "Solicitar CVE"

Publicar uma consultoria de segurança

A publicação de uma consultor de segurança elimina a bifurcação privada temporária para a consultoria de segurança.

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança.
    Guia de segurança
  3. Na barra lateral esquerda, clique em Consultoria de segurança.
    Aba de consultoria de segurança
  4. Na lista "consultoria de segurança", clique na consultoria de segurança que deseja publicar.
    Consultoria de segurança na lista
  5. Na parte inferior da página, clique em Publicar consultoria.
    Botão Publish advisory (Publicar consultoria)

Dependabot alerts para o aviso de segurança publicado

GitHub irá revisar cada consultoria de segurança publicada, adicioná-la ao Banco de Dados Consultivo GitHub, e poderá utilizar a consultoria de segurança para enviar Dependabot alerts aos repositórios afetados. Se a consultoria de segurança vier de uma bifurcação, só enviaremos um alerta se a bifurcação possuir um pacote, publicado com um nome único, em um registro de pacote público. Este processo pode levar até 72 horas e GitHub pode entrar em contato com você para obter mais informações.

Para obter mais informações sobre Dependabot alerts, consulte "Sobre alertas para dependências vulneráveis". Para obter mais informações sobre Banco de Dados Consultivo GitHub, consulte "Procurar vulnerabilidades de segurança no Banco de Dados Consultivo GitHub.

Leia mais

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.