Acerca de las políticas de seguridad
Si quieres proporcionar a otras personas instrucciones para notificar vulnerabilidades de seguridad en el proyecto, puedes agregar un archivo SECURITY.md
a la raíz, a los documentos docs
o la carpeta .github
del repositorio. Al agregar este archivo a esta(s) parte(s) del repositorio, se crea automáticamente una fila con una descripción donde los usuarios pueden revisarlo. Cuando alguien crea una incidencia en el repositorio, verá un enlace a la directiva de seguridad de tu proyecto.
Puedes crear una política de seguridad predeterminada para tu organización o cuenta personal. Para obtener más información, vea «Creación de un archivo predeterminado de mantenimiento de la comunidad».
Tip
Para ayudar a los usuarios a encontrar su directiva de seguridad, puedes vincularla a su archivo SECURITY.md
desde otros lugares del repositorio, como el archivo README
. Para obtener más información, vea «Acerca de los archivos README».
Cuando alguien informa de una vulnerabilidad de seguridad en el proyecto, puede usar GitHub Security Advisories para divulgar, corregir y publicar información sobre esta. Para más información sobre el proceso de generación de informes y la divulgación de vulnerabilidades en GitHub, consulta "Acerca de la divulgación coordinada de las vulnerabilidades de seguridad". Para más información sobre los avisos de seguridad del repositorio, consulta "Acerca de las asesorías de seguridad de repositorio".
También puede unir GitHub Security Lab para examinar temas relacionados con la seguridad y colaborar en herramientas y proyectos de seguridad.
Para obtener un ejemplo real del archivo SECURITY.md
, consulte https://github.com/electron/electron/blob/main/SECURITY.md.
Agregar una política de seguridad a tu repositorio
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral izquierda, en "Informes", haz clic en Política.
-
Haga clic en Iniciar configuración.
-
En el nuevo archivo
SECURITY.md
, agregue información sobre las versiones admitidas del proyecto y cómo notificar una vulnerabilidad. -
Haz clic en Confirmar cambios... .
-
En el campo de "Mensaje de confirmación", escriba un mensaje de confirmación corto y significativo que describa la modificación que hizo en el archivo. Puedes atribuir el cambio a mas de un autor en el mensaje del mismo. Para obtener más información, vea «Crear una confirmación con distintos autores».
-
Si tiene más de una dirección de correo electrónico asociada a la cuenta en , haga clic en el menú desplegable de la dirección de correo electrónico y seleccione la que se usará como dirección de correo electrónico del creador de Git. Únicamente las direcciones de correo electrónico verificadas aparecen en el menú desplegable. Si ha habilitado la privacidad de la dirección de correo electrónico, una dirección de correo electrónico no responder del creador de la confirmación será la predeterminada. Para obtener más información sobre el formulario exacto que puede tomar la dirección de correo electrónico sin respuesta, consulte "Configurar tu dirección de correo electrónico de confirmación".
-
Debajo de los campos para el mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una rama nueva. Debajo de los campos del mensaje de confirmación, decide si deseas agregar tu confirmación a la rama actual o a una nueva rama. Si tu rama actual es la rama predeterminada, debes elegir crear una nueva rama para tu confirmación y después crear una solicitud de extracción. Para obtener más información, vea «Crear una solicitud de incorporación de cambios».
-
Haz clic en Confirmar cambios o Proponer cambios.