Cualquier usuario con permisos de administrador puede crear un aviso de seguridad.
Nota: Si es un investigador de seguridad, debe contactar directamente con los mantenedores para pedirles que creen asesorías de seguridad o que emitan CVE en su nombre en los repositorios que no administra. Pero si la generación de informes de vulnerabilidad privada está habilitada para el repositorio, puedes generar de forma privada un informe de vulnerabilidad por tu cuenta. Para obtener más información, consulta "Generar de forma privada un informe de vulnerabilidad de seguridad".
Creación de un aviso de seguridad
- En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad.
1. En la barra lateral izquierda, en "Informes", haz clic en Avisos.
- Haz clic en Nuevo borrador de asesoría de seguridad para abrir el borrador del formulario de asesoría. Los campos marcados con un asterisco son obligatorios.
- Escribe un título para tu aviso de seguridad.
- Edita el producto y versiones que se vieron afectados por la vulnerabilidad de seguridad de la que trata esta asesoría de seguridad. En caso de que aplique, puedes agregar varios productos afectados a esta misma asesoría.
Para saber sobre cómo especificar información en el formulario, incluidas las versiones afectadas, consulta "Procedimientos recomendados para escribir avisos de seguridad del repositorio". 1. Selecciona la severidad de la vulnerabilidad de seguridad. Para asignar una puntuación de CVSS, selecciona "Evaluar la severidad utilizando CVSS" y haz clic en los valores adecuados en el calculador. GitHub Enterprise Cloud calcula la puntuación de acuerdo con el "Calculador del Sistema de Puntación para Vulnerabilidades Comunes".
1. Agrega enumeradores de debilidades comunes (CWEs) para los tipos de debilidades de seguridad con las que trata esta asesoría de seguridad. Para obtener una lista completa de CWE, vea la "Enumeración de puntos débiles comunes" de MITRE.
- Si tienes un identificador de CVE existente, selecciona "Tengo un identificador de CVE existente" y teclea el identificador de CVE en la caja de texto. De lo contrario, puedes solicitar un CVE desde GitHub más adelante. Para obtener más información, vea "Acerca de GitHub Security Advisories." 1. Escribe una descripción de la vulnerabilidad de seguridad.
- Haga clic en Create draft security advisory.
Pasos siguientes
- Comentar en el borrador de asesoría de seguridad para debatir sobre la vulnerabilidad con tu equipo.
- Añadir colaboradores a la asesoría de seguridad. Para obtener más información, consulte "Adición de un colaborador a un aviso de seguridad de repositorio".
- Colaborar en privado para solucionar la vulnerabilidad en una bifurcación privada temporaria. Para más información, vea "Colaboración en una bifurcación privada temporal para resolver una vulnerabilidad de seguridad del repositorio".
- Agregar individuos que deberían recibir crédito por contribuir con la asesoría de seguridad. Para más información, vea "Edición de un aviso de seguridad de repositorio".
- Publicar la asesoría de seguridad para notificar a tu comunidad sobre la vulnerabilidad de seguridad en cuestión. Para más información, vea "Publicación de un aviso de seguridad de repositorio".