Skip to main content

Agregar una política de seguridad a tu repositorio

Puedes dar instrucciones de cómo reportar una vulnerabilidad de seguridad en tu proyecto si agregas una política de seguridad a tu repositorio.

Acerca de las políticas de seguridad

Para proporcionar instrucciones sobre cómo notificar vulnerabilidades de seguridad en el proyecto, puede agregar un archivo SECURITY.md a la raíz, docs, o a la carpeta .github del repositorio. Cuando alguien cree una incidencia en el repositorio, verá un vínculo a la directiva de seguridad del proyecto.

Puedes crear una política de seguridad predeterminada para tu organización o cuenta personal. Para más información, vea "Creación de un archivo de estado de la comunidad predeterminado".

Sugerencia: Para ayudar a los usuarios a encontrar su directiva de seguridad, puede vincular a su archivo SECURITY.md desde otros lugares del repositorio, como un archivo Léame. Para más información, vea "Acerca de los archivos Léame".

Cuando alguien informa de una vulnerabilidad de seguridad en el proyecto, puede usar GitHub Security Advisories para divulgar, corregir y publicar información sobre esta. Para obtener más información sobre el proceso de generación de informes y la divulgación de vulnerabilidades en GitHub, vea "Acerca de la divulgación coordinada de vulnerabilidades de seguridad". Para más información sobre GitHub Security Advisories, vea "Acerca de GitHub Security Advisories".

También puede unir GitHub Security Lab para examinar temas relacionados con la seguridad y colaborar en herramientas y proyectos de seguridad.

Agregar una política de seguridad a tu repositorio

  1. En GitHub.com, vaya a la página principal del repositorio. 1. En el nombre del repositorio, haga clic en Security. Pestaña Seguridad
  2. En la barra lateral izquierda, haga clic en Security policy (Directiva de seguridad). Pestaña Security policy (Directiva de seguridad)
  3. Haga clic en Iniciar configuración. Botón Start setup (Iniciar configuración)
  4. En el nuevo archivo SECURITY.md, agregue información sobre las versiones admitidas del proyecto y cómo notificar una vulnerabilidad.
  5. En la parte inferior de la página, teclea un mensaje de confirmación corto y significativo que describa el cambio que realizaste al archivo. Puedes atribuir el cambio a mas de un autor en el mensaje del mismo. Para más información, vea "Creación de una confirmación con varios coautores". Mensaje de confirmación para el cambio
  6. Si tiene más de una dirección de correo electrónico asociada a la cuenta en GitHub.com, haga clic en el menú desplegable de la dirección de correo electrónico y seleccione la que se usará como dirección de correo electrónico del creador de Git. Únicamente las direcciones de correo electrónico verificadas aparecen en el menú desplegable. Si ha habilitado la privacidad de la dirección de correo electrónico, <username>@users.noreply.github.com es la dirección de correo electrónico predeterminada del creador de la confirmación. Para más información, vea "Configuración de la dirección de correo electrónico de confirmación". Elección de direcciones de correo electrónico para confirmaciones 1. Debajo de los campos para el mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una rama nueva. Debajo de los campos del mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una nueva rama. Si tu rama actual es la rama predeterminada, debes elegir crear una nueva rama para tu confirmación y después crear una solicitud de extracción. Para más información, vea "Creación de una solicitud de incorporación de cambios". Opciones de confirmación de rama 1. Haga clic en Propose file change (Proponer cambio de archivo). Botón para proponer cambio de archivo

Información adicional