# Como relatar de modo privado uma vulnerabilidade de segurança

Alguns repositórios públicos configuram avisos de segurança para que qualquer pessoa possa relatar vulnerabilidades de segurança de modo direto e privado aos mantenedores.

Proprietários e administradores de repositórios públicos podem habilitar relatórios de vulnerabilidades privados nos respectivos repositórios. Confira [Como configurar relatórios privados de vulnerabilidades em um repositório](/pt/code-security/security-advisories/working-with-repository-security-advisories/configuring-private-vulnerability-reporting-for-a-repository).

> \[!NOTE]
>
> * Se você tiver permissões de administração ou de segurança para um repositório público, não precisará enviar um relatório de vulnerabilidade. Em vez disso, crie um rascunho de aviso de segurança diretamente. Consulte [Criando uma consultoria de segurança do repositório](/pt/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory).
> * O relatório privado de vulnerabilidades é separado do arquivo `SECURITY.md` de um repositório. Você só pode relatar vulnerabilidades privadamente para repositórios em que esse recurso está habilitado e você não precisa seguir as instruções em `SECURITY.md`.

Se um repositório público tiver relatórios de vulnerabilidades privados habilitados, qualquer pessoa poderá enviar um relatório de vulnerabilidade privada para os mantenedores do repositório.

Se o repositório não tiver relatórios de vulnerabilidades privados habilitados, você precisará iniciar o processo de relatório seguindo as instruções na política de segurança do repositório ou criando um problema solicitando aos mantenedores um contato de segurança preferencial. Consulte [Divulgação coordenada de vulnerabilidades de segurança](/pt/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/about-coordinated-disclosure-of-security-vulnerabilities#about-reporting-and-disclosing-vulnerabilities-in-projects-on-github).

1. Em GitHub, acesse a página principal do repositório.

2. No nome do repositório, clique na **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** guia. Se você não conseguir ver a guia "<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality", selecione o **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** menu suspenso e clique em **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**.

3. Clique em **Relatar uma vulnerabilidade** para abrir o formulário de aviso.

4. Preencha o formulário de detalhes do aviso.

   > \[!TIP]
   > Nesse formulário, somente o título e a descrição são obrigatórios. (No formulário geral de aviso de segurança de rascunho, iniciado pelo mantenedor do repositório, a especificação do ecossistema também é obrigatória). No entanto, recomendamos que os pesquisadores de segurança forneçam o máximo de informações possível no formulário para que os mantenedores possam tomar uma decisão informada sobre o relatório enviado. Você pode adotar o modelo usado por nossos pesquisadores de segurança do GitHub Security Lab, que está disponível no [repositório `github/securitylab`](https://github.com/github/securitylab/blob/main/docs/report-template.md).

   Para obter mais informações sobre os campos disponíveis e as diretrizes sobre como preencher o formulário, confira [Criando uma consultoria de segurança do repositório](/pt/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory) e [Práticas recomendadas para gravar avisos de segurança do repositório](/pt/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/best-practices-for-writing-repository-security-advisories).

5. Na parte inferior do formulário, clique em **Enviar relatório**. O GitHub exibirá uma mensagem informando que os mantenedores foram notificados e que você tem um crédito pendente para esse aviso de segurança.

   > \[!TIP]
   > Quando o relatório é enviado, o GitHub adiciona automaticamente o relator da vulnerabilidade como colaborador e como um usuário creditado no aviso proposto.

6. Opcionalmente, clique em **Iniciar um fork privado temporário** se quiser começar a corrigir o problema. Observe que somente o mantenedor do repositório pode mesclar as alterações do fork privado com o repositório pai.

   ![Captura de tela do final de um aviso de segurança. Um botão, rotulado "Iniciar um fork temporário", está contornado em laranja escuro.](/assets/images/help/security/advisory-start-a-temporary-private-fork-button.png)

As próximas etapas dependem da ação executada pelo mantenedor do repositório. Consulte [Gerenciar vulnerabilidades de segurança relatadas privadamente](/pt/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/managing-privately-reported-security-vulnerabilities).