Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Configuración de informes de vulnerabilidades privadas para un repositorio

Los propietarios y administradores de repositorios públicos pueden permitir que los investigadores de seguridad informen de vulnerabilidades de forma segura en el repositorio mediante la habilitación de informes de vulnerabilidades privados.

Quién puede usar esta característica

Anyone with admin permissions to a public repository can enable and disable private vulnerability reporting for the repository.

Nota: La notificación privada de vulnerabilidades se encuentra actualmente en versión beta y está sujeta a cambios.

Acerca de la creación de informes privados de una vulnerabilidad de seguridad

A menudo, los investigadores de seguridad se sienten responsables de alertar a los usuarios de una vulnerabilidad que podría aprovecharse. Si no hay instrucciones claras sobre cómo ponerse en contacto con los mantenedores del repositorio que contienen la vulnerabilidad, es posible que los investigadores de seguridad no tengan otra opción, sino publicar sobre la vulnerabilidad en las redes sociales, enviar mensajes directos al mantenedor o incluso crear incidencias públicas. Esta situación puede dar lugar a una divulgación pública de los detalles de la vulnerabilidad.

Los informes de vulnerabilidades privados facilitan a los investigadores de seguridad notificar las vulnerabilidades directamente mediante un formulario sencillo.

Cuando un investigador de seguridad notifica una vulnerabilidad de forma privada, se te notifica y puedes optar por aceptarla, formular más preguntas o rechazarla. Si aceptas el informe, estás a punto para colaborar en una corrección de la vulnerabilidad en privado con el investigador de seguridad.

Para los mantenedores, las ventajas de usar informes de vulnerabilidades privados son:

  • Menos riesgo de ponerse en contacto públicamente o a través de medios no deseados.
  • Recibir informes en la misma plataforma en la que se resuelven por motivos de simplicidad
  • El investigador de seguridad crea o al menos inicia el informe de asesoramiento en nombre de los mantenedores.
  • Los mantenedores reciben informes en la misma plataforma que el que se usa para analizar y resolver los avisos.
  • Es menos probable que la vulnerabilidad esté en el ojo público.
  • La oportunidad de analizar los detalles de vulnerabilidad de forma privada con investigadores de seguridad y colaborar en la revisión.

Habilitación o deshabilitación de vulnerabilidades privadas para un repositorio

  1. En GitHub.com, navega a la página principal del repositorio. 1. Debajo del nombre del repositorio, haz clic en Configuración. Botón de configuración del repositorio

  2. En la sección "Seguridad" de la barra lateral, haz clic en Análisis y seguridad del código.

  3. En "Seguridad y análisis de código", a la derecha de "Informes de vulnerabilidades privados", haga clic en Habilitar o Deshabilitar para habilitar o deshabilitar la característica, respectivamente.

    Captura de pantalla de la página "Seguridad y análisis del código" con el botón "Habilitar" resaltado para la generación de informes de vulnerabilidades privados

Cuando un mantenedor habilita los informes de seguridad privados para su repositorio, los investigadores de seguridad verán un nuevo botón en la página Avisos del repositorio. El investigador de seguridad puede hacer clic en este botón para notificar de forma privada una vulnerabilidad de seguridad al mantenedor del repositorio.

Captura de pantalla que muestra el botón "Notificar una vulnerabilidad"