Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Creación de informes privados de una vulnerabilidad de seguridad

Algunos repositorios públicos configuran avisos de seguridad para que cualquier usuario pueda notificar vulnerabilidades de seguridad directamente y de forma privada a los mantenedores.

Nota: La notificación privada de vulnerabilidades se encuentra actualmente en versión beta y está sujeta a cambios.

Los propietarios y administradores de repositorios públicos pueden habilitar informes de vulnerabilidades privados en sus repositorios. Para obtener más información, consulta "Configuración de informes de vulnerabilidades privados para un repositorio".

Acerca de la creación de informes privados de una vulnerabilidad de seguridad

A menudo, los investigadores de seguridad se sienten responsables de alertar a los usuarios de una vulnerabilidad que podría aprovecharse. Si no hay instrucciones claras sobre cómo ponerse en contacto con los mantenedores del repositorio que contienen la vulnerabilidad, es posible que los investigadores de seguridad no tengan otra opción, sino publicar sobre la vulnerabilidad en las redes sociales, enviar mensajes directos al mantenedor o incluso crear incidencias públicas. Esta situación puede dar lugar a una divulgación pública de los detalles de la vulnerabilidad.

Los informes de vulnerabilidades privadas facilitan a los investigadores de seguridad notificar las vulnerabilidades directamente al mantenedor de repositorios mediante un formulario sencillo.

Para los investigadores de seguridad, las ventajas de usar informes de vulnerabilidades privados son:

  • Menos frustración y menos tiempo dedicado a tratar de averiguar cómo ponerse en contacto con el mantenedor.
  • Un proceso más sencillo para revelar y analizar los detalles de la vulnerabilidad.
  • La oportunidad de analizar los detalles de vulnerabilidades de forma privada con el mantenedor de repositorios.

Nota: Si el repositorio no tiene habilitados los informes privados de vulnerabilidades, debes iniciar el proceso de informes siguiendo las instrucciones de la directiva de seguridad del repositorio o crear una incidencia que solicite a los mantenedores un contacto de seguridad preferido. Para obtener más información, consulta "Acerca de la divulgación coordinada de las vulnerabilidades de seguridad."

Creación de informes privados de una vulnerabilidad de seguridad

Los investigadores de seguridad pueden notificar de forma privada una vulnerabilidad de seguridad a los mantenedores de repositorios.

  1. En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad 1. En la barra lateral izquierda, en "Informes", haz clic en Avisos. Pestaña Security advisories (Avisos de seguridad)

  2. Haz clic en Notificar una vulnerabilidad para abrir el formulario de asesoramiento.

    Captura de pantalla que muestra el botón "Notificar una vulnerabilidad"

  3. Rellena el formulario de detalles de asesoramiento.

    Consejo: En este formato, solo el título y la descripción son obligatorios. (En el formulario de aviso de seguridad general, que inicia el mantenedor del repositorio, también se requiere especificar el ecosistema). Sin embargo, recomendamos que los investigadores de seguridad proporcionen toda la información posible en el formulario para que los mantenedores puedan tomar una decisión informada sobre el informe enviado. Puedes adoptar la plantilla que usan nuestros investigadores de seguridad de GitHub Security Lab, que está disponible en el repositorio github/securitylab".

    Para obtener más información sobre los campos disponibles y las instrucciones para rellenar el formulario, consulta "Creación de un aviso de seguridad de repositorio" y "Procedimientos recomendados para escribir avisos de seguridad de repositorios".

  4. En la parte inferior del formulario, haz clic en Enviar informe. GitHub mostrará un mensaje que te indicará que se ha notificado a los mantenedores y que tienes un crédito pendiente para este aviso de seguridad.

    Captura de pantalla que muestra el botón "Enviar informe"

    Consejo: Cuando se envía el informe, GitHub agrega automáticamente al informador de la vulnerabilidad como colaborador y como usuario acreditado en el aviso propuesto.

  5. Opcionalmente, haz clic en Iniciar una bifurcación privada temporal si quieres empezar a corregir el problema. Ten en cuenta que solo el mantenedor del repositorio puede combinar esa bifurcación privada.

    Captura de pantalla que muestra el botón "Iniciar una bifurcación temporal"

Los pasos siguientes dependen de la acción realizada por el mantenedor del repositorio. Para obtener más información, consulta "Administración de vulnerabilidades de seguridad notificadas de forma privada".