Adding a security policy to your repository

About security policies

To give people instructions for reporting security vulnerabilities in your project, you can add a SECURITY.md file to your repository's root, docs, or .github folder. Adding this file to this part(s) of your repository automatically creates a row with a description where people can review it. When someone creates an issue in your repository, they will see a link to your project's security policy.

You can create a default security policy for your organization or personal account. For more information, see Creación de un archivo predeterminado de mantenimiento de la comunidad.

After someone reports a security vulnerability in your project, you can use GitHub Security Advisories to disclose, fix, and publish information about the vulnerability. For more information about the process of reporting and disclosing vulnerabilities in GitHub, see Acerca de la divulgación coordinada de las vulnerabilidades de seguridad. For more information about repository security advisories, see Acerca de las asesorías de seguridad de repositorio.

También puede unir GitHub Security Lab para examinar temas relacionados con la seguridad y colaborar en herramientas y proyectos de seguridad.

For an example of a real SECURITY.md file, see https://github.com/electron/electron/blob/main/SECURITY.md.

Adding a security policy to your repository

1. En GitHub, navegue hasta la página principal del repositorio.

2. Debajo del nombre del repositorio, haz clic en Security. Si no puedes ver la pestaña "Security", selecciona el menú desplegable y, después, haz clic en Security.

   

3. In the left sidebar, under "Reporting", click Policy.

4. Click Start setup.

5. In the new SECURITY.md file, add information about supported versions of your project and how to report a vulnerability.

6. Haga clic en Confirmar cambios.

7. En el campo de "Mensaje de confirmación", escriba un mensaje de confirmación corto y significativo que describa la modificación que hizo en el archivo. Puedes atribuir el cambio a mas de un autor en el mensaje del mismo. Para más información, consulta Crear una confirmación con distintos autores.

8. Si tiene más de una dirección de correo electrónico asociada a la cuenta en , haga clic en el menú desplegable de la dirección de correo electrónico y seleccione la que se usará como dirección de correo electrónico del creador de Git. Únicamente las direcciones de correo electrónico verificadas aparecen en el menú desplegable. Si ha habilitado la privacidad de la dirección de correo electrónico, una dirección de correo electrónico no responder del creador de la confirmación será la predeterminada. Para más información sobre el formato exacto que puede tomar la dirección de correo electrónico sin respuesta, consulta Configurar tu dirección de correo electrónico de confirmación.

   

9. Debajo de los campos para el mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una rama nueva. Debajo de los campos del mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una nueva rama. Si tu rama actual es la rama predeterminada, debes elegir crear una nueva rama para tu confirmación y después crear una solicitud de extracción. Para más información, consulta Crear una solicitud de incorporación de cambios.

   

10. Haz clic en Confirmar cambios o Proponer cambios.

Further reading

• Inicio rápido para proteger el repositorio
• Configurar tu proyecto para contribuciones saludables
• GitHub Security Lab