Skip to main content

Publicación de un aviso de seguridad de repositorio

Puedes publicar una asesoría de seguridad para alertar a tu comunidad sobre la vulnerabilidad de seguridad en tu proyecto.

Cualquiera con permisos de administrador en una asesoría de seguridad puede publicarla.

Nota: Este artículo se aplica a la edición de avisos de nivel de repositorio como propietario del repositorio.

Los usuarios que no sean propietarios de repositorios pueden contribuir a los avisos de seguridad globales en GitHub Advisory Database en github.com/advisories. Las ediciones a las asesorías globales no cambiarán ni afectarán la forma en la que se muestra la asesoría en el repositorio. Para más información, vea "Edición de avisos de seguridad en GitHub Advisory Database".

Prerrequisitos

Antes de que puedas publicar una asesoría de seguridad o solicitar un número de identificación de CVE, debes crear un borrador de asesoría de seguridad y proporcionar información acerca de las versiones de tu proyecto que se vieron afectadas por la vulnerabilidad de seguridad. Para más información, vea "Creación de un aviso de seguridad de repositorio".

Si creaste una asesoría de seguridad pero no has proporcionado detalles sobre las versiones de tu proyecto que afectó la vulnerabilidad, puedes editarla. Para más información, vea "Edición de un aviso de seguridad de repositorio".

Acerca de publicar una asesoría de seguridad

Cuando publicas una asesoría de seguridad, notificas a tu comunidad acerca de la vulnerabilidad de seguridad que se dirige en dicha asesoría. El publicar una asesoría de seguridad facilita a tu comunidad el actualizar las dependencias de los paquetes y el investigar el impacto de la vulnerabilidad de seguridad.

También puedes utilizar GitHub Security Advisories para volver a publicar los detalles de una vulnerabilidad de seguridad que ya has divulgado en otro lugar si copias y pegas los detalles de la vulnerabilidad en una asesoría de seguridad nueva.

Antes de que publiques una asesoría de seguridad, puedes hacer una colaboración privada para arreglar la vulnerabilidad en una bifurcación privada. Para más información, vea "Colaboración en una bifurcación privada temporal para resolver una vulnerabilidad de seguridad del repositorio".

Advertencia: Siempre que sea posible, debe agregar una versión de corrección a un aviso de seguridad antes de publicar el aviso. Si no lo haces, la asesoría se publicará sin una versión corregida y el Dependabot alertará a tus usuarios sobre este problema sin ofrecer una versión segura para actualizarse.

Te recomendamos seguir estos pasos en estas situaciones:

  • Si una versión corregida está disponible inminentemente y puedes hacerlo, espera para divulgar el problema cuando la corrección ya esté lista.
  • Si aún se está desarrollando una versión corregida y no se encuentra disponible, menciónalo en la asesoría y edítala después de publicarla.
  • Si no planeas corregir el problema, aclara esto en la asesoría para que tus usuarios no te contacten para preguntar cuándo crearás la corrección. En este caso, es útil incluir pasos que puedan seguir los usuarios para mitigar el problema.

Cuando publicas un borrador de asesoría desde un repositorio público, todos pueden ver:

  • La versión actual de los datos de la asesoría.
  • Cualquier asesoría atribuye que los usuarios acreditados han aceptado.

Nota: El público general nunca tendrá acceso al historial de edición del aviso y solo verá la versión publicada.

Después de que publicas una asesoría de seguridad, la URL de la misa permanecerá tal como antes de publicarla. Cualquiera con acceso de lectura al repositorio puede verla. Los colaboradores de la asesoría de seguridad pueden seguir viendo las conversaciones pasadas, incluyendo el flujo completo de comentarios, en la asesoría de seguridad a menos de que alguien con permisos administrativos elimine al colaborador de la asesoría de seguridad.

Si necesitas actualizar o corregir información en una asesoría de seguridad que hayas publicado, puedes editarla. Para más información, vea "Edición de un aviso de seguridad de repositorio".

Publicar una asesoría de seguridad

El publicar una asesoría de seguridad borra la bifurcación temporal privada para la misma.

  1. En GitHub.com, vaya a la página principal del repositorio. 1. En el nombre del repositorio, haga clic en Security. Pestaña Seguridad 1. En la barra lateral izquierda, haga clic en Security advisories (Avisos de seguridad). Pestaña Security advisories (Avisos de seguridad)
  2. En el listado de "Asesorías de Seguridad", da clic sobre la que quieras publicar. Aviso de seguridad en la lista
  3. En la parte inferior de la página, haga clic en Publish advisory. Botón para publicar aviso

Dependabot alerts para las asesorías de seguridad publicadas

GitHub revisará cada asesoría de seguridad que se haya publicado, la agregará a la GitHub Advisory Database, y podría utilzar esta asesoría de seguridad para enviar Dependabot alerts a los repositorios que se vean afectados. Si la asesoría de seguridad viene de una bifurcación, únicamente enviaremos una alerta si ésta tiene un paquete que se publique con un nombre único y esté en un registro de paquetes público. Este proceso puede tomar hasta 72 horas y GitHub podría contactarte para obtener más información.

Para obtener más información sobre Dependabot alerts, consulta Acerca de Dependabot alerts y Acerca de Dependabot security updates. Para obtener más información sobre GitHub Advisory Database, consulta "Exploración de avisos de seguridad en GitHub Advisory Database".

Solicitar un número de identificación de CVE (Opcional)

Si quieres un número de identificación CVE para la vulnerabilidad de seguridad en tu proyecto y aún no tienes uno, puedes solicitarlo de GitHub. GitHub habitualmente revisa la solicitud dentro de las primeras 72 horas de su recepción. El solicitar un número de identificación de CVE no convierte tu asesoría de seguridad en pública. Si tu asesoría de seguridad es elegible para un CVE, GitHub reservará un número de identificación de CVE para ésta. Entonces publicaremos los detalles de CVE después de que hayas hecho pública tu asesoría de seguridad. Cualquiera con permisos de administrador en una asesoría de seguridad puede solicitar un número de identificación de CVE.

Si ya tienes un CVE que quieres utilizar, por ejemplo, si utilizas una Autoridad de Numeración de CVE (CNA) diferente a la de GitHub, agrega el CVE al formato de asesoría de seguridad. Esto podría pasar, por ejemplo, si quiers que la asesoría sea consistente con otras comnicaciones que planees enviar al momento de la publicación. GitHub no pude asignar un CVE a tu proyecto si se cubre con otro CNA. Para más información, vea "Acerca de GitHub Security Advisories para repositorios".

  1. En GitHub.com, vaya a la página principal del repositorio. 1. En el nombre del repositorio, haga clic en Security. Pestaña Seguridad 1. En la barra lateral izquierda, haga clic en Security advisories (Avisos de seguridad). Pestaña Security advisories (Avisos de seguridad)
  2. En el listado de "Asesorías de Seguridad", da clic en aquella para la cual quieras solicitar un número de identificación de CVE. Aviso de seguridad en la lista
  3. Use el menú desplegable Publish advisory y haga clic en Request CVE. Solicitud de CVE en el menú desplegable
  4. Haga clic en Request CVE. Botón de solicitud de CVE

Información adicional