Nota: Si es un investigador de seguridad, debe contactar directamente con los mantenedores para pedirles que creen asesorías de seguridad o que emitan CVE en su nombre en los repositorios que no administra. Pero si la generación de informes de vulnerabilidad privada está habilitada para el repositorio, puedes generar de forma privada un informe de vulnerabilidad por tu cuenta. Para obtener más información, vea «Creación de informes privados de una vulnerabilidad de seguridad».
Creación de un aviso de seguridad
También puedes usar la API REST para crear avisos de seguridad de repositorio. Para más información, consulta "Asesorías de seguridad de repositorio" en la documentación de REST API.
-
En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
Haz clic en Nuevo borrador de asesoría de seguridad para abrir el borrador del formulario de asesoría. Los campos marcados con un asterisco son obligatorios.
-
En el campo Título, escribe un título para el aviso de seguridad.
-
Use the CVE identifier dropdown menu to specify whether you already have a CVE identifier or plan to request one from GitHub later. If you have an existing CVE identifier, select I have an existing CVE identifier to display an Existing CVE field, and type the CVE identifier in the field. For more information, see "Acerca de las asesorías de seguridad de repositorio." 1. En el campo Descripción, escribe una descripción de la vulnerabilidad de seguridad, incluido su impacto, las revisiones o soluciones alternativas disponibles y cualquier referencia existente. 1. Edita el producto y versiones que se vieron afectados por la vulnerabilidad de seguridad de la que trata esta asesoría de seguridad. En caso de que aplique, puedes agregar varios productos afectados a esta misma asesoría.
-
Opcionalmente, en "Créditos", agrega créditos buscando un nombre de usuario de GitHub, la dirección de correo electrónico asociada a su cuenta de GitHub o su nombre completo.
-
Usa el menú desplegable situado junto al nombre de la persona a la que se le va a asignar un tipo de crédito. Para obtener más información sobre los tipos de crédito, consulta la sección Acerca de los créditos para avisos de seguridad del repositorio.
-
Opcionalmente, para quitar a alguien, haz clic en junto al tipo de crédito.
-
-
Haga clic en Create draft security advisory.
Las personas listadas en la sección de "Créditos" recibirán una notificación web o por correo electrónico que los invita a aceptar el crédito. Si la persona acepta, su nombre de usuario estará visible al público una vez que la asesoría de seguridad se publique.
Acerca de los créditos para avisos de seguridad del repositorio
Puedes dar crédito a las personas que ayudaron a descubrir, reportar, o arreglar una vulnerabilidad de seguridad. Si le das crédito a alguien, ellos pueden elegir aceptarlo o declinarlo.
Puedes asignar diferentes tipos de crédito a los usuarios.
| Tipo de crédito | Motivo |
|---|---|
| Buscador | Identifica la vulnerabilidad |
| Informador | Notifica al proveedor la vulnerabilidad en un CNA |
| Analista | Valida la vulnerabilidad para garantizar la precisión o la gravedad |
| Coordinador | Facilita el proceso de respuesta coordinada |
| Desarrollador de correcciones | Prepara un cambio de código u otros planes de corrección |
| Revisor de correcciones | Revisa los planes de corrección de vulnerabilidades o los cambios de código para mejorar la eficacia y la integridad. |
| Comprobador de correcciones | Comprueba la vulnerabilidad o su corrección |
| Herramienta | Nombres de herramientas usadas en la detección o identificación de vulnerabilidades |
| Patrocinador | Admite las actividades de identificación o corrección de vulnerabilidades |
Si alguien acepta el crédito, el nombre de usuario de la persona aparecerá en la sección "Créditos" de la asesoría de seguridad. Cualquiera con acceso de lectura al repositorio puede ver la asesoría y las personas que aceptaron el crédito por ella.
Nota: Si crees que se te debería dar crédito por alguna asesoría de seguridad, contacta con el creador de la asesoría y pídele que la edite para incluir tu crédito. Solo el creador de la asesoría te puede dar crédito, así que, por favor, no contactes con el Soporte de GitHub pidiendo crédito para alguna asesoría de seguridad.
Pasos siguientes
- Comentar en el borrador de asesoría de seguridad para debatir sobre la vulnerabilidad con tu equipo.
- Añadir colaboradores a la asesoría de seguridad. Para obtener más información, vea «Incorporación de un colaborador a un aviso de seguridad de repositorio».
- Colaborar en privado para solucionar la vulnerabilidad en una bifurcación privada temporaria. Para obtener más información, vea «Colaboración en una bifurcación privada temporal para resolver una vulnerabilidad de seguridad del repositorio».
- Agregar individuos que deberían recibir crédito por contribuir con la asesoría de seguridad. Para obtener más información, vea «Edición de un aviso de seguridad de repositorio».
- Publicar la asesoría de seguridad para notificar a tu comunidad sobre la vulnerabilidad de seguridad en cuestión. Para obtener más información, vea «Publicación de un aviso de seguridad de repositorio».