Skip to main content

Creación de un aviso de seguridad de repositorio

Puedes crear un borrador de asesoría de seguridad para debatir en privado y arreglar una vulnerabilidad de seguridad en tu proyecto de código abierto.

¿Quién puede utilizar esta característica?

Anyone with admin permissions to a public repository, or with a security manager role within the repository, can create a security advisory.

Note

Si eres investigador de seguridad, debes ponerte en contacto directamente con los mantenedores para pedirles que creen avisos de seguridad o que emitan CVE en tu nombre en los repositorios que no administras. Pero si la generación de informes de vulnerabilidad privada está habilitada para el repositorio, puedes generar de forma privada un informe de vulnerabilidad por tu cuenta. Para obtener más información, vea «Creación de informes privados de una vulnerabilidad de seguridad».

Creación de un aviso de seguridad

También puedes usar la API REST para crear avisos de seguridad de repositorio. Para más información, consulta Puntos de conexión de API de REST para avisos de seguridad de repositorios.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral izquierda, en "Informes", haz clic en Avisos.

  4. Haz clic en Nuevo borrador de asesoría de seguridad para abrir el borrador del formulario de asesoría. Los campos marcados con un asterisco son obligatorios.

  5. En el campo Título, escribe un título para el aviso de seguridad.

  6. Usa el menú desplegable Identificador de CVE para especificar si ya tienes un identificador de CVE o planeas solicitar uno en GitHub más adelante. Si tienes un identificador de CVE existente, selecciona Tengo un identificador de CVE existente para mostrar un campo CVE existente y escribe el identificador de CVE en el campo. Para obtener más información, vea «Acerca de las asesorías de seguridad de repositorio».

  7. En el campo Descripción, escribe una descripción de la vulnerabilidad de seguridad, incluido su impacto, las revisiones o soluciones alternativas disponibles y cualquier referencia existente.

  8. En "Productos afectados", define el ecosistema, el nombre del paquete, las versiones afectadas y revisadas y las funciones vulnerables correspondientes a la vulnerabilidad de seguridad que se describe en este aviso de seguridad. Si corresponde, puedes agregar varios productos afectados al mismo anuncio; para ello, haz clic en Agregar otro producto afectado.

    Para información sobre cómo especificar información en el formulario, incluidas las versiones afectadas, consulta "Procedimientos recomendados para escribir asesorías de seguridad del repositorio".

  9. Usa el menú desplegable Gravedad para definir la gravedad de la vulnerabilidad de seguridad. Si quieres calcular una puntuación de CVSS, selecciona Evaluar la gravedad mediante CVSS y, luego, selecciona los valores adecuados en la Calculadora. GitHub Enterprise Cloud calcula la puntuación según la calculadora del Sistema de puntuación de vulnerabilidades comunes.

  10. En "Puntos débiles", en el campo Enumerador de puntos débiles comunes, escribe enumeradores de puntos débiles comunes (CWE) que describan los tipos de puntos débiles relacionados con la seguridad que este aviso de seguridad notifica. Para obtener una lista completa de CWE, vea la "Enumeración de puntos débiles comunes" de MITRE.

  11. Opcionalmente, en "Créditos", agrega créditos buscando un nombre de usuario de GitHub, la dirección de correo electrónico asociada a su cuenta de GitHub o su nombre completo.

    • Usa el menú desplegable situado junto al nombre de la persona a la que se le va a asignar un tipo de crédito. Para obtener más información sobre los tipos de crédito, consulta la sección Acerca de los créditos para avisos de seguridad del repositorio.

      Captura de pantalla de un borrador de asesoría de seguridad. Un menú desplegable, con la etiqueta "Elegir un tipo de crédito", está resaltado con un contorno naranja.

    • Opcionalmente, para quitar a alguien, haz clic en junto al tipo de crédito.

  12. Haga clic en Create draft security advisory.

Las personas listadas en la sección de "Créditos" recibirán una notificación web o por correo electrónico que los invita a aceptar el crédito. Si la persona acepta, su nombre de usuario estará visible al público una vez que la asesoría de seguridad se publique.

Acerca de los créditos para avisos de seguridad del repositorio

Puedes dar crédito a las personas que ayudaron a descubrir, reportar, o arreglar una vulnerabilidad de seguridad. Si le das crédito a alguien, ellos pueden elegir aceptarlo o declinarlo.

Puedes asignar diferentes tipos de crédito a los usuarios.

Tipo de créditoMotivo
BuscadorIdentifica la vulnerabilidad
InformadorNotifica al proveedor la vulnerabilidad en un CNA
AnalistaValida la vulnerabilidad para garantizar la precisión o la gravedad
CoordinadorFacilita el proceso de respuesta coordinada
Desarrollador de correccionesPrepara un cambio de código u otros planes de corrección
Revisor de correccionesRevisa los planes de corrección de vulnerabilidades o los cambios de código para mejorar la eficacia y la integridad.
Comprobador de correccionesComprueba la vulnerabilidad o su corrección
HerramientaNombres de herramientas usadas en la detección o identificación de vulnerabilidades
PatrocinadorAdmite las actividades de identificación o corrección de vulnerabilidades

Si alguien acepta el crédito, el nombre de usuario de la persona aparecerá en la sección "Créditos" de la asesoría de seguridad. Cualquiera con acceso de lectura al repositorio puede ver la asesoría y las personas que aceptaron el crédito por ella.

Note

Si consideras que deberías recibir reconocimiento por un aviso de seguridad, ponte en contacto con el creador del aviso y pide que lo edite para incluir tu reconocimiento. Solo el creador de la asesoría te puede dar crédito, así que, por favor, no contactes con el Soporte de GitHub pidiendo crédito para alguna asesoría de seguridad.

Pasos siguientes