Cualquier usuario con permisos de administrador puede crear un aviso de seguridad.
Nota: Si eres un investigador de seguridad, debes contactar directamente a los mantenedores para pedirles que creen asesorías de seguridad o que emitan CVEs en tu nombre en los repositorios que no administras.
Crear una asesoría de seguridad
- En GitHub.com, visita la página principal del repositorio.
- Debajo de tu nombre de repositorio, da clic en Seguridad.
- En la barra lateral izquierda, haga clic en Security advisories (Avisos de seguridad).
- Da clic en Nuevo borrador de asesoría de seguridad.
- Escribe un título para tu aviso de seguridad.
- Edita el producto y versiones que se vieron afectados por la vulnerabilidad de seguridad de la que trata esta asesoría de seguridad. En caso de que aplique, puedes agregar varios productos afectados a esta misma asesoría.
- Selecciona la severidad de la vulnerabilidad de seguridad. Para asignar una puntuación de CVSS, selecciona "Evaluar la severidad utilizando CVSS" y haz clic en los valores adecuados en el calculador. GitHub calcula la puntuación de acuerdo con el "Calculador del Sistema de Puntación para Vulnerabilidades Comunes".
- Agrega enumeradores de debilidades comunes (CWEs) para los tipos de debilidades de seguridad con las que trata esta asesoría de seguridad. Para encontrar una lista completa de CWE, consulta la "Enumeración de Debilidades Comunes" desde MITRE.
- Si tienes un identificador de CVE existente, selecciona "Tengo un identificador de CVE existente" y teclea el identificador de CVE en la caja de texto. De lo contrario, puedes solicitar un CVE desde GitHub más adelante. Para obtener más información, consulta la sección "Acerca deGitHub Security Advisories".
- Escribe una descripción de la vulnerabilidad de seguridad.
- Haz clic en Crear un borrador de asesoría de seguridad.
Pasos siguientes
- Comentar en el borrador de asesoría de seguridad para debatir sobre la vulnerabilidad con tu equipo.
- Añadir colaboradores a la asesoría de seguridad. Para obtener más información, consulta la sección "Agregar un colaborador a una asesoría de seguridad de repositorio".
- Colaborar en privado para solucionar la vulnerabilidad en una bifurcación privada temporaria. Para obtener más información, consulta la sección "Colaborar en una bifurcación privada temporal para resolver una vulnerabilidad de seguridad".
- Agregar individuos que deberían recibir crédito por contribuir con la asesoría de seguridad. Para obtener más información, consulta la sección "Editar una asesoría de seguridad de repositorio".
- Publicar la asesoría de seguridad para notificar a tu comunidad sobre la vulnerabilidad de seguridad en cuestión. Para obtener más información, consulta la sección "Publicar una asesoría de seguridad de repositorio".