Toute personne disposant d’autorisations d’administrateur sur un dépôt peut créer un avis de sécurité.
Remarque : Si vous êtes chercheur en sécurité, vous devez contacter directement les mainteneurs pour leur demander de créer des avis de sécurité ou d’émettre des CVE en votre nom dans les dépôts que vous n’administrez pas. Toutefois, si les rapports de vulnérabilités privés sont activés pour le dépôt, vous pouvez signaler vous-même une vulnérabilité en privé. Pour plus d’informations, consultez « Signalement privé d’une vulnérabilité de sécurité ».
Création d’un avis de sécurité
-
Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité.
1. Dans la barre latérale gauche, sous « Rapports », cliquez sur Advisories. -
Cliquez sur Nouveau brouillon d’avis de sécurité pour ouvrir le formulaire de brouillon d’avis. Les champs marqués d’un astérisque sont obligatoires.
-
Tapez un titre pour votre avis de sécurité.
-
Sous « Produits affectés », définissez l’écosystème, le nom du package, les versions affectées/corrigées et les fonctions vulnérables pour la vulnérabilité de sécurité décrite dans cet avis de sécurité. Le cas échéant, vous pouvez ajouter plusieurs produits affectés au même avis en cliquant sur Ajouter un autre produit affecté.
Pour plus d’informations sur la façon de spécifier des informations sur le formulaire, y compris les versions affectées, consultez « Meilleures pratiques pour l’écriture des avis de sécurité de référentiels ». 1. Définissez la gravité de la vulnérabilité de sécurité à l’aide du menu déroulant Gravité. Si vous souhaitez calculer un score CVSS, sélectionnez Évaluer la gravité à l’aide de CVSS, puis sélectionnez les valeurs appropriées dans le calculateur. GitHub calcule le score à l’aide du calculateur CVSS (Common Vulnerability Scoring System). 1. Ajoutez des énumérateurs de failles courantes pour les types de failles de sécurité traités dans cet avis de sécurité. Pour obtenir la liste complète des énumérateurs de failles courantes, consultez la section « Common Weakness Enumeration » de MITRE.
-
Si vous avez un identificateur CVE existant, sélectionnez « J’ai un identificateur CVE » et tapez l’identificateur CVE dans la zone de texte. Sinon, vous pouvez demander un CVE sur GitHub par la suite. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels ». 1. Dans le champ Description, tapez une description de la vulnérabilité de sécurité, y compris son impact, tous les correctifs ou solutions de contournement disponibles et toutes les références.
-
Cliquez sur Créer un brouillon d’avis de sécurité.
Étapes suivantes
- Commentez le brouillon d’avis de sécurité pour discuter de la vulnérabilité avec votre équipe.
- Ajoutez des collaborateurs à l’avis de sécurité. Pour plus d’informations, consultez « Ajout d’un collaborateur à un avis de sécurité de dépôt ».
- Collaborez en privé pour corriger la vulnérabilité dans une duplication (fork) privée temporaire. Pour plus d’informations, consultez « Collaboration dans une duplication privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt »
- Ajoutez des personnes à créditer pour leur contribution à l’avis de sécurité. Pour plus d’informations, consultez « Modification d’un avis de sécurité de dépôt ».
- Publiez l’avis de sécurité pour informer votre communauté de la vulnérabilité de sécurité. Pour plus d’informations, consultez « Publication d’un avis de sécurité de dépôt ».