Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Publicar una asesoría de seguridad

Puedes publicar una asesoría de seguridad para alertar a tu comunidad sobre la vulnerabilidad de seguridad en tu proyecto.

En este artículo

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.

Cualquiera con permisos de administrador en una asesoría de seguridad puede publicarla.

Prerrequisitos

Before you can publish a security advisory or request a CVE identification number, you must create a draft security advisory and provide information about the versions of your project affected by the security vulnerability. Para obtener más información, consulta la sección "Crear una asesoría de seguridad".

Si creaste una asesoría de seguridad pero no has proporcionado detalles sobre las versiones de tu proyecto que afectó la vulnerabilidad, puedes editarla. Para obtener más información, consulta la sección "Editar una asesoría de seguridad".

Acerca de publicar una asesoría de seguridad

When you publish a security advisory, you notify your community about the security vulnerability that the security advisory addresses. Publishing a security advisory makes it easier for your community to update package dependencies and research the impact of the security vulnerability.

También puedes utilizar GitHub Security Advisories para volver a publicar los detalles de una vulnerabilidad de seguridad que ya has divulgado en otro lugar si copias y pegas los detalles de la vulnerabilidad en una asesoría de seguridad nueva.

Before you publish a security advisory, you can privately collaborate to fix the vulnerability in a temporary private fork. Para obtener más información, consulta "Colaborar en una bifurcación privada temporaria para resolver una vulnerabilidad de seguridad".

Cuando publicas un borrador de asesoría desde un repositorio público, todos pueden ver:

  • La versión actual de los datos de la asesoría.
  • Cualquier asesoría atribuye que los usuarios acreditados han aceptado.

Nota: El público en general jamás tendrá acceso al historial de ediciones de la asesoría y solo verá la versión publicada.

Después de que publicas una asesoría de seguridad, la URL de la misa permanecerá tal como antes de publicarla. Cualquiera con acceso de lectura al repositorio puede verla. Los colaboradores de la asesoría de seguridad pueden seguir viendo las conversaciones pasadas, incluyendo el flujo completo de comentarios, en la asesoría de seguridad a menos de que alguien con permisos administrativos elimine al colaborador de la asesoría de seguridad.

Si necesitas actualizar o corregir información en una asesoría de seguridad que hayas publicado, puedes editarla. Para obtener más información, consulta la sección "Editar una asesoría de seguridad".

Pedir el número de identificación de CVE

Anyone with admin permissions to a security advisory can request a CVE identification number for the security advisory.

Si aún no tienes un número de identificación CVE para la vulnerabilidad de seguridad en tu proyecto, puedes solicitar un número de identificación de CVE de GitHub. GitHub habitualmente revisa la solicitud dentro de las primeras 72 horas de su recepción. El solicitar un número de identificación de CVE no convierte tu asesoría de seguridad en pública. Si tu asesoría de seguridad es elegible para un CVE, GitHub rservará un número de identificación de CVE para ésta. Después publicaremos los detalles del CVE después de que publiques la asesoría de seguridad. For more information, see "About GitHub Security Advisories."

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral izquierda, haga clic en Security advisories (Avisos de seguridad).
    Pestaña de avisos de seguridad
  4. En el listado de "Asesorías de Seguridad", da clic en aquella para la cual quieras solicitar un número de identificación de CVE.
    Asesoría de seguridad en la lista
  5. Utiliza el menú desplegable de Publicar asesoría y da clic en Solicitar CVE.
    Solicitar un CVE en el menú desplegable
  6. Da clic en Solicitar CVE.
    Botón "Solicitar CVE"

Publicar una asesoría de seguridad

Publishing a security advisory deletes the temporary private fork for the security advisory.

  1. En GitHub, visita la página principal del repositorio.
  2. Debajo de tu nombre de repositorio, da clic en Seguridad.
    Pestaña de seguridad
  3. En la barra lateral izquierda, haga clic en Security advisories (Avisos de seguridad).
    Pestaña de avisos de seguridad
  4. En el listado de "Asesorías de Seguridad", da clic sobre la que quieras publicar.
    Asesoría de seguridad en la lista
  5. En la parte inferior de la página, da clic sobre Publicar asesoría.
    Botón para publicar aviso

Alertas del Dependabot de GitHub para las asesorías de seguridad publicadas

GitHub revisará cada asesoría de seguridad que se haya publicado, la agregará a la GitHub Advisory Database, y podría utilzar esta asesoría de seguridad para enviar Alertas del Dependabot de GitHub a los repositorios que se vean afectados. Si la asesoría de seguridad viene de una bifurcación, únicamente enviaremos una alerta si ésta tiene un paquete que se publique con un nombre único y esté en un registro de paquetes público. Este proceso puede tomar hasta 72 horas y GitHub podría contactarte para obtener más información.

Para obtener más informació acera de las Alertas del Dependabot de GitHub, consulta la sección "Acerca de las alertas para las dependencias vulnerables". Para obtener más información acerca de la GitHub Advisory Database, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database".

Leer más

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.