Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Administración de vulnerabilidades de seguridad notificadas de forma privada

Los mantenedores de repositorios pueden administrar las vulnerabilidades de seguridad que les hayan notificado de forma privada los investigadores de seguridad para los repositorios en los que esté habilitado el informe privado de vulnerabilidades.

Quién puede usar esta característica

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Nota: La notificación privada de vulnerabilidades se encuentra actualmente en versión beta y está sujeta a cambios.

Los propietarios y administradores de repositorios públicos pueden habilitar informes de vulnerabilidades privados en sus repositorios. Para obtener más información, consulta "Configuración de informes de vulnerabilidades privados para un repositorio".

Acerca de la creación de informes privados de una vulnerabilidad de seguridad

Los informes de vulnerabilidades privados facilitan a los investigadores de seguridad notificar las vulnerabilidades directamente mediante un formulario sencillo.

Cuando un investigador de seguridad notifica una vulnerabilidad de forma privada, se te notifica y puedes optar por aceptarla, formular más preguntas o rechazarla. Si aceptas el informe, estarás a punto para colaborar en una corrección de la vulnerabilidad en privado con el investigador de seguridad.

Administración de vulnerabilidades de seguridad que se notifican de forma privada

GitHub envía una notificación a los mantenedores del repositorio cuando los investigadores de seguridad informan de forma privada sobre vulnerabilidades en su repositorio y envía notificaciones si los mantenedores observan el repositorio o si tienen notificaciones habilitadas para el repositorio. Para más información, vea "Configuración de notificaciones".

  1. En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad 1. En la barra lateral izquierda, en "Informes", haz clic en Avisos. Pestaña Security advisories (Avisos de seguridad)

  2. Haz clic en el aviso que quieras revisar. Un aviso que se notifique de forma privada tendrá el estado Needs triage.

    Captura de pantalla en la que muestra un ejemplo de lista de avisos

  3. Revisa detenidamente el informe. Puede:

    • Colabora con el investigador de seguridad para realizar una revisión en privado; para ello, haz clic en Iniciar una bifurcación privada temporal. Esta opción te ofrece un lugar para seguir conversando con el colaborador sin cambiar el estado Needs triage del aviso propuesto.

    • Acepta el informe de vulnerabilidades como borrador de aviso sobre GitHub haciendo clic en Aceptar y abrir como borrador. Si eliges esta opción:

      • El informe no se hará público.
      • El informe se convertirá en un borrador de aviso de seguridad de repositorio y podrás trabajar en él de la misma manera que en cualquier otro borrador de aviso que crees. Para obtener más información acerca de los avisos de seguridad de repositorio, consulta "Acerca de los avisos de seguridad de repositorio".
    • Rechaza el informe haciendo clic en Cerrar aviso de seguridad. Siempre que sea posible, debes agregar un comentario que explique por qué no consideras el informe un riesgo de seguridad antes de cerrar el aviso.

      Captura de pantalla en la que se muestran las opciones disponibles para el mantenedor del repositorio al revisar un informe de vulnerabilidades enviado externamente