Configurar los informes de vulnerabilidades privados para una organización

Los propietarios de la organización y los administradores de seguridad pueden permitir que los investigadores de seguridad informen de vulnerabilidades de forma segura en los repositorios de la organización mediante la habilitación de informes de vulnerabilidades privados para todos sus repositorios públicos.

¿Quién puede utilizar esta característica?

Anyone with admin permissions to an organization, or with a security manager role within the organization, can enable and disable private vulnerability reporting for that organization.

En este artículo

Acerca de la creación de informes privados de una vulnerabilidad de seguridad

A menudo, los investigadores de seguridad se sienten responsables de alertar a los usuarios de una vulnerabilidad que podría aprovecharse. Si no hay instrucciones claras sobre cómo ponerse en contacto con los mantenedores del repositorio que contienen la vulnerabilidad, es posible que los investigadores de seguridad no tengan otra opción, sino publicar sobre la vulnerabilidad en las redes sociales, enviar mensajes directos al mantenedor o incluso crear incidencias públicas. Esta situación puede dar lugar a una divulgación pública de los detalles de la vulnerabilidad.

Los informes de vulnerabilidades privados facilitan a los investigadores de seguridad notificar las vulnerabilidades directamente mediante un formulario sencillo.

Cuando un investigador de seguridad notifica una vulnerabilidad de forma privada, se te notifica y puedes optar por aceptarla, formular más preguntas o rechazarla. Si aceptas el informe, estás a punto para colaborar en una corrección de la vulnerabilidad en privado con el investigador de seguridad.

Para los propietarios de la organización y los administradores de seguridad, las ventajas de usar informes de vulnerabilidades privados son: - Menos riesgo de ponerse en contacto públicamente o a través de medios no deseados.

  • Recibir informes en la misma plataforma en la que se resuelven por motivos de simplicidad
  • El investigador de seguridad crea o al menos inicia el informe de asesoramiento en nombre de los mantenedores.
  • Los mantenedores reciben informes en la misma plataforma que el que se usa para analizar y resolver los avisos.
  • Es menos probable que la vulnerabilidad esté en el ojo público.
  • La oportunidad de analizar los detalles de vulnerabilidad de forma privada con investigadores de seguridad y colaborar en la revisión.

Las instrucciones siguientes hacen referencia a la habilitación a nivel de organización. Para información sobre cómo habilitar la característica para un repositorio, consulta "Configuración de informes de vulnerabilidades privadas para un repositorio".

Cuando se notifica de forma privada una nueva vulnerabilidad en un repositorio donde está habilitada la notificación privada de vulnerabilidades, GitHub Enterprise Cloud informa a los mantenedores de repositorios y administradores de seguridad si:

  • Están inspeccionando toda la actividad del repositorio.
  • Tienen notificaciones habilitadas para el repositorio.

Para más información sobre cómo configurar las preferencias de notificación, consulta "Configuración de informes de vulnerabilidades privadas para un repositorio".

Habilitación o deshabilitación de informes de vulnerabilidades privados para todos los repositorios públicos existentes de una organización

  1. En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. Junto a la organización, haga clic en Settings.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis del código", a la derecha de "Informes de vulnerabilidades privados", haz clic en Habilitar todos o Deshabilitar todos para habilitar o deshabilitar la característica para todos los repositorios públicos dentro de la organización, respectivamente.

    Captura de pantalla de la página "Seguridad y análisis del código" con los botones "Deshabilitar todos" y "Habilitar todos" resaltados para los informes de vulnerabilidades privados.

Habilitación o deshabilitación de informes de vulnerabilidades privados para nuevos repositorios públicos agregados a la organización

  1. En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. Junto a la organización, haga clic en Settings.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En "Seguridad y análisis del código", a la derecha de la característica, haz clic en Habilitar automáticamente para nuevos repositorios públicos.

    Captura de pantalla de la página "Seguridad y análisis del código" con la casilla "Habilitar automáticamente para nuevos repositorios públicos" resaltada para los informes de vulnerabilidades privados.

  5. A la derecha de "Informes de vulnerabilidades privados", haz clic en Habilitar todos o Deshabilitar todos para habilitar o deshabilitar la característica para todos los repositorios públicos que se añadirá a la organización, respectivamente.

Cómo es tener habilitados los informes de vulnerabilidades privados para un repositorio para un investigador de seguridad

Cuando se habilitan los informes de vulnerabilidad privados para un repositorio, los investigadores de seguridad verán un nuevo botón en la página Avisos del repositorio. El investigador de seguridad puede hacer clic en este botón para notificar de forma privada una vulnerabilidad de seguridad al mantenedor del repositorio.

Captura de pantalla que muestra el botón "Notificar una vulnerabilidad" para un repositorio donde se han habilitado los informes de vulnerabilidades privados.

Los investigadores de seguridad también pueden usar la API REST para notificar de forma privada las vulnerabilidades de seguridad. Para obtener más información, consulta «Generar de forma privada un informe de vulnerabilidad de seguridad».