Acerca de las políticas de seguridad
Si quieres proporcionar a otras personas instrucciones para notificar vulnerabilidades de seguridad en el proyecto, puedes agregar un archivo SECURITY.md
a la raíz, a los documentos docs
o la carpeta .github
del repositorio. Al agregar este archivo a esta(s) parte(s) del repositorio, se crea automáticamente una fila con una descripción donde los usuarios pueden revisarlo. Cuando alguien crea una incidencia en el repositorio, verá un enlace a la directiva de seguridad de tu proyecto.
Puedes crear una política de seguridad predeterminada para tu organización o cuenta personal. Para obtener más información, vea «Creación de un archivo predeterminado de mantenimiento de la comunidad».
Tip
Para ayudar a los usuarios a encontrar su directiva de seguridad, puedes vincularla a su archivo SECURITY.md
desde otros lugares del repositorio, como el archivo README
. Para obtener más información, vea «Acerca de los archivos README».
Cuando pones las instrucciones de reporte de seguridad claramente disponibles, facilitas a tus usurios el reportar cualquier vulnerabilidad de seguridad que encuentren en tu repositorio utilizando tu canal de comunicación preferido.
Para obtener un ejemplo real del archivo SECURITY.md
, consulte https://github.com/electron/electron/blob/main/SECURITY.md.
Agregar una política de seguridad a tu repositorio
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral izquierda, en "Informes", haz clic en Política.
-
Haga clic en Iniciar configuración.
-
En el nuevo archivo
SECURITY.md
, agregue información sobre las versiones admitidas del proyecto y cómo notificar una vulnerabilidad. -
Haz clic en Confirmar cambios... .
-
En el campo de "Mensaje de confirmación", escriba un mensaje de confirmación corto y significativo que describa la modificación que hizo en el archivo. Puedes atribuir el cambio a mas de un autor en el mensaje del mismo. Para obtener más información, vea «Crear una confirmación con distintos autores».
-
Debajo de los campos para el mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una rama nueva. Debajo de los campos del mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una nueva rama. Si tu rama actual es la rama predeterminada, debes elegir crear una nueva rama para tu confirmación y después crear una solicitud de extracción. Para obtener más información, vea «Crear una solicitud de incorporación de cambios».
-
Haz clic en Confirmar cambios o Proponer cambios.