Acerca de la evaluación de la configuración de seguridad de un repositorio
Evaluar la configuración de seguridad de un repositorio público puede ayudar a los investigadores de seguridad a comprender la posición de seguridad del repositorio. Esta información puede ayudarte a decidir si quieres interactuar con los mantenedores del repositorio, por ejemplo, mediante la notificación de una vulnerabilidad en el repositorio.
Si un repositorio es público, la información de alto nivel sobre la configuración de seguridad del repositorio está disponible para cualquier persona. Por ejemplo, puedes ver si el repositorio tiene una directiva de seguridad y si está habilitada esta función. También puedes ver avisos de seguridad publicados y cerrados del repositorio. Si no hay ninguna directiva de seguridad asociada a un repositorio, puedes sugerir una. Si el repositorio tiene habilitada la notificación privada de vulnerabilidades, puedes notificar de manera privada las vulnerabilidades de seguridad directamente a los mantenedores del repositorio.
Si tienes permisos de administrador para el repositorio y este es propiedad de una organización, puedes ver información más detallada sobre la configuración de seguridad del repositorio a través de la información general de seguridad. Para más información al respecto, consulta Información general sobre seguridad en la documentación de GitHub Enterprise Cloud.
Si un repositorio es privado, solo puedes ver la configuración de seguridad si tienes permisos de administrador para el repositorio o se te concedieron permisos de seguridad especiales que abarcan el repositorio, por ejemplo, como administrador de seguridad para toda la organización.
Si desea evaluar la posición de seguridad de los repositorios a gran escala, puede usar la API para comprobar si algunas configuraciones de seguridad están o no están habilitadas para repositorios, como los informes de vulnerabilidad privados. Para más información, consulta Puntos de conexión de la API de REST para repositorios.
Sugerencia de una directiva de seguridad para un repositorio
Si no tienes permisos de administrador o seguridad para un repositorio público, de todos modos puedes sugerir una directiva de seguridad a los mantenedores del repositorio si todavía no existe. Luego, los mantenedores del repositorio pueden optar por aceptar o rechazar la sugerencia. Si los mantenedores del repositorio aceptan la sugerencia, la directiva de seguridad se asociará al repositorio.
- En GitHub, navegue hasta la página principal del repositorio.
- En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
- Si el repositorio tiene una directiva de seguridad, esta se mostrará. Si no hay ninguna directiva de seguridad asociada al repositorio, haz clic en Sugerir una directiva.
- Se creará un archivo SECURITY.md en la rama predeterminada del repositorio. El archivo contendrá una plantilla para una directiva de seguridad. Puedes editar el archivo para agregar la directiva de seguridad sugerida.
- Cuando termines, haz clic en Confirmar cambios.
- Rellena el diálogo Confirmar cambios.
- En "Mensaje de confirmación", escribe un mensaje de confirmación.
- Si quieres, en "Descripción extendida", describe los cambios que se realizan.
- Selecciona "Creación de una rama para esta confirmación e inicio de una PR".
- Haga clic en Confirmar cambios.
- Haga clic en Create pull request (Crear solicitud de incorporación de cambios).
- Opcionalmente, deja un comentario.
- Haga clic en Create pull request (Crear solicitud de incorporación de cambios).
Notificación de una vulnerabilidad en un repositorio
Si no tienes permisos de administrador o seguridad para un repositorio público, de todos modos puedes notificar de manera privada una vulnerabilidad de seguridad a los mantenedores de repositorios si está habilitada esta función. Luego, los mantenedores del repositorio pueden optar por aceptar o rechazar el informe. Si los mantenedores del repositorio lo aceptan, se creará un aviso de seguridad para el repositorio.
Note
Si el repositorio no tiene habilitada la generación de informes privados de vulnerabilidades, debes iniciar el proceso de generación de informes siguiendo las instrucciones de la directiva de seguridad del repositorio o crear una incidencia que solicite a los mantenedores un contacto de seguridad preferido. Para obtener más información, vea «Acerca de la divulgación coordinada de las vulnerabilidades de seguridad».
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
Haz clic en Notificar una vulnerabilidad para abrir el formulario de asesoramiento.
-
Rellena el formulario de detalles de asesoramiento.
Tip
En este formato, solo el título y la descripción son obligatorios. (En el formulario de aviso de seguridad general, que inicia el mantenedor del repositorio, también se requiere especificar el ecosistema). Sin embargo, recomendamos que los investigadores de seguridad proporcionen toda la información posible en el formulario para que los mantenedores puedan tomar una decisión informada sobre el informe enviado. Puede adoptar la plantilla que usan nuestros investigadores de seguridad de GitHub Security Lab, que está disponible en el repositorio
github/securitylab
".Para más información sobre los campos disponibles e instrucciones sobre cómo rellenar el formulario, consulta "Creación de un aviso de seguridad de repositorio" y "Procedimientos recomendados para escribir asesorías de seguridad del repositorio".
-
En la parte inferior del formulario, haz clic en Enviar informe. GitHub mostrará un mensaje que te indicará que se ha notificado a los mantenedores y que tienes un crédito pendiente para este aviso de seguridad.
Tip
Cuando se envía el informe, GitHub agrega automáticamente al informador de la vulnerabilidad como colaborador y como usuario acreditado en el aviso propuesto.
-
Opcionalmente, haz clic en Iniciar una bifurcación privada temporal si quieres empezar a corregir el problema. Debes tener en cuenta que solo el mantenedor del repositorio puede combinar los cambios de esa bifurcación privada en el repositorio primario.