Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Acerca de GitHub Security Advisories

Puedes usar GitHub Security Advisories para discutir, corregir y publicar información sobre vulnerabilidades de seguridad en tu repositorio.

En este artículo

Cualquier usuario con permisos de administrador puede crear un aviso de seguridad.

Cualquiera con permisos de administrador en un repositorio tendrá también permisos de administrador en todas las asesorías de seguridad del mismo. Las personas con permisos de administrador en una asesoría de seguridad pueden agregar colaboradores, y estos tendrán permisos de escritura en dicha asesoría.

Note: If you are a security researcher, you should directly contact maintainers to ask them to create security advisories or issue CVEs on your behalf in repositories that you don't administer.

Acerca de GitHub Security Advisories

GitHub Security Advisories permite a los mantenedores del repositorio discutir en privado y corregir una vulnerabilidad de seguridad en un proyecto. Después de colaborar en una corrección, los mantenedores del repositorio pueden publicar el aviso de seguridad para revelar públicamente la vulnerabilidad de seguridad a la comunidad del proyecto. Al publicar avisos de seguridad, los mantenedores de repositorios facilitan que su comunidad actualice las dependencias de los paquetes e investigue el impacto de las vulnerabilidades de seguridad.

Con GitHub Security Advisories, puedes:

  1. Crear un borrador de asesoría de seguridad y utilizarlo para debatir de manera privada sobre el impacto de la vulnerabilidad en tu proyecto.
  2. Colaborar en privado para solucionar la vulnerabilidad en una bifurcación privada temporaria.
  3. Publicar la asesoría de seguridad para enviar una alerta sobre la vulnerabilidad a tu comunidad.

También puedes utilizar GitHub Security Advisories para volver a publicar los detalles de una vulnerabilidad de seguridad que ya has divulgado en otro lugar si copias y pegas los detalles de la vulnerabilidad en una asesoría de seguridad nueva.

Para empezar, ve "Creando un aviso de seguridad."

Puedes dar crédito a los individuos que contribuyeron con una asesoría de seguridad. Para obtener más información, consulta la sección "

Editar una asesoría de seguridad".

Puedes crear una política de seguridad para dar instrucciones a las personas para reportar las vulnerabilidades de seguridad de manera responsable en tu proyecto. Para obtener más información, consulta "Aumentar la seguridad para tu repositorio".

También puedes unirte a GitHub Security Lab para buscar temas relacionados con seguridad y contribuir con las herramientas y proyectos de seguridad.

Números de identificación CVE

GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.

When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. Si aún no tienes un número de identificación CVE para la vulnerabilidad de seguridad en tu proyecto, puedes solicitar un número de identificación de CVE de GitHub. GitHub habitualmente revisa la solicitud dentro de las primeras 72 horas de su recepción. El solicitar un número de identificación de CVE no convierte tu asesoría de seguridad en pública. Si tu asesoría de seguridad es elegible para un CVE, GitHub rservará un número de identificación de CVE para ésta. Después publicaremos los detalles del CVE después de que publiques la asesoría de seguridad.

Una vez que hayas publicado la asesoría de seguridad y que GitHub haya asignado un número de identificación CVE a la vulnerabilidad, GitHub publicará el CVE a la base de datos de MITRE. Para obtener más información, consulta la sección "Publicar una asesoría de seguridad".

Alertas del Dependabot de GitHub para las asesorías de seguridad publicadas

GitHub revisará cada asesoría de seguridad que se haya publicado, la agregará a la GitHub Advisory Database, y podría utilzar esta asesoría de seguridad para enviar Alertas del Dependabot de GitHub a los repositorios que se vean afectados. Si la asesoría de seguridad viene de una bifurcación, únicamente enviaremos una alerta si ésta tiene un paquete que se publique con un nombre único y esté en un registro de paquetes público. Este proceso puede tomar hasta 72 horas y GitHub podría contactarte para obtener más información.

Para obtener más informació acera de las Alertas del Dependabot de GitHub, consulta la sección "Acerca de las alertas para las dependencias vulnerables". Para obtener más información acerca de la GitHub Advisory Database, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database".

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos