Publicar una asesoría de seguridad

Puedes publicar una asesoría de seguridad para alertar a tu comunidad sobre la vulnerabilidad de seguridad en tu proyecto.

Cualquiera con permisos de administrador en una asesoría de seguridad puede publicarla.

Prerrequisitos

Antes de que puedas publicar una asesoría de seguridad o solicitar un número de identificación de CVE, debes crear un borrador de asesoría de seguridad y proporcionar información acerca de las versiones de tu proyecto que se vieron afectadas por la vulnerabilidad de seguridad. Para obtener más información, consulta la sección "Crear una asesoría de seguridad".

Si creaste una asesoría de seguridad pero no has proporcionado detalles sobre las versiones de tu proyecto que afectó la vulnerabilidad, puedes editarla. Para obtener más información, consulta la sección "Editar una asesoría de seguridad".

Acerca de publicar una asesoría de seguridad

Cuando publicas una asesoría de seguridad, notificas a tu comunidad acerca de la vulnerabilidad de seguridad que se dirige en dicha asesoría. El publicar una asesoría de seguridad facilita a tu comunidad el actualizar las dependencias de los paquetes y el investigar el impacto de la vulnerabilidad de seguridad.

También puedes utilizar GitHub Security Advisories para volver a publicar los detalles de una vulnerabilidad de seguridad que ya has divulgado en otro lugar si copias y pegas los detalles de la vulnerabilidad en una asesoría de seguridad nueva.

Antes de que publiques una asesoría de seguridad, puedes hacer una colaboración privada para arreglar la vulnerabilidad en una bifurcación privada. Para obtener más información, consulta "Colaborar en una bifurcación privada temporaria para resolver una vulnerabilidad de seguridad".

Advertencia: En medida de lo posible, siempre deberás agregar una versión corregida a una asesoría de seguridad antes de publicarla. Si no lo haces, la asesoría se publicará sin una versión corregida y el Dependabot alertará a tus usuarios sobre este problema sin ofrecer una versión segura para actualizarse.

Te recomendamos seguir estos pasos en estas situaciones:

  • Si una versión corregida está disponible inminentemente y puedes hacerlo, espera para divulgar el problema cuando la corrección ya esté lista.
  • Si aún se está desarrollando una versión corregida y no se encuentra disponible, menciónalo en la asesoría y edítala después de publicarla.
  • Si no planeas corregir el problema, aclara esto en la asesoría para que tus usuarios no te contacten para preguntar cuándo crearás la corrección. En este caso, es útil incluir pasos que puedan seguir los usuarios para mitigar el problema.

Cuando publicas un borrador de asesoría desde un repositorio público, todos pueden ver:

  • La versión actual de los datos de la asesoría.
  • Cualquier asesoría atribuye que los usuarios acreditados han aceptado.

Nota: El público en general jamás tendrá acceso al historial de ediciones de la asesoría y solo verá la versión publicada.

Después de que publicas una asesoría de seguridad, la URL de la misa permanecerá tal como antes de publicarla. Cualquiera con acceso de lectura al repositorio puede verla. Los colaboradores de la asesoría de seguridad pueden seguir viendo las conversaciones pasadas, incluyendo el flujo completo de comentarios, en la asesoría de seguridad a menos de que alguien con permisos administrativos elimine al colaborador de la asesoría de seguridad.

Si necesitas actualizar o corregir información en una asesoría de seguridad que hayas publicado, puedes editarla. Para obtener más información, consulta la sección "Editar una asesoría de seguridad".

Publicar una asesoría de seguridad

El publicar una asesoría de seguridad borra la bifurcación temporal privada para la misma.

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral izquierda, haga clic en Security advisories (Avisos de seguridad). Pestaña de avisos de seguridad
  4. En el listado de "Asesorías de Seguridad", da clic sobre la que quieras publicar. Asesoría de seguridad en el listado
  5. En la parte inferior de la página, da clic sobre Publicar asesoría. Botón para publicar aviso

Las alertas del dependabot para las asesorías de seguridad publicadas

GitHub revisará cada asesoría de seguridad que se haya publicado, la agregará a la GitHub Advisory Database, y podría utilzar esta asesoría de seguridad para enviar Las alertas del dependabot a los repositorios que se vean afectados. Si la asesoría de seguridad viene de una bifurcación, únicamente enviaremos una alerta si ésta tiene un paquete que se publique con un nombre único y esté en un registro de paquetes público. Este proceso puede tomar hasta 72 horas y GitHub podría contactarte para obtener más información.

Para obtener más información sobre las Las alertas del dependabot, consulta las secciones "Acerca de las alertas para las dependencias vulnerables" y "Acerca de las Actualizaciones de seguridad del dependabot". Para obtener más información acerca de la GitHub Advisory Database, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database".

Solicitar un número de identificación de CVE (Opcional)

Si quieres un número de identificación CVE para la vulnerabilidad de seguridad en tu proyecto y aún no tienes uno, puedes solicitarlo de GitHub. GitHub habitualmente revisa la solicitud dentro de las primeras 72 horas de su recepción. El solicitar un número de identificación de CVE no convierte tu asesoría de seguridad en pública. Si tu asesoría de seguridad es elegible para un CVE, GitHub reservará un número de identificación de CVE para ésta. Entonces publicaremos los detalles de CVE después de que hayas hecho pública tu asesoría de seguridad. Cualquiera con permisos de administrador en una asesoría de seguridad puede solicitar un número de identificación de CVE.

Si ya tienes un CVE que quieres utilizar, por ejemplo, si utilizas una Autoridad de Numeración de CVE (CNA) diferente a la de GitHub, agrega el CVE al formato de asesoría de seguridad. Esto podría pasar, por ejemplo, si quiers que la asesoría sea consistente con otras comnicaciones que planees enviar al momento de la publicación. GitHub no pude asignar un CVE a tu proyecto si se cubre con otro CNA. Para obtener más información, consulta la sección "Acerca de las GitHub Security Advisories".

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad
  3. En la barra lateral izquierda, haga clic en Security advisories (Avisos de seguridad). Pestaña de avisos de seguridad
  4. En el listado de "Asesorías de Seguridad", da clic en aquella para la cual quieras solicitar un número de identificación de CVE. Asesoría de seguridad en el listado
  5. Utiliza el menú desplegable de Publicar asesoría y da clic en Solicitar CVE. Solicitar un CVE en el menú desplegable
  6. Da clic en Solicitar CVE. Botón "Solicitar CVE"

Leer más

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.