Skip to main content

About repository security advisories

You can use repository security advisories to privately discuss, fix, and publish information about security vulnerabilities in your repository.

Toute personne disposant d’autorisations d’administrateur sur un dépôt peut créer un avis de sécurité.

Toute personne disposant d’autorisations d’administrateur sur un référentiel dispose également d’autorisations d’administrateur sur tous les avis de sécurité de ce référentiel. Les utilisateurs disposant d’autorisations d’administrateur sur un avis de sécurité peuvent ajouter des collaborateurs, et les collaborateurs disposent d’autorisations en écriture sur celui-ci.

Remarque : Si vous êtes chercheur en sécurité, vous devez contacter directement les mainteneurs pour leur demander de créer des avis de sécurité ou d’émettre des CVE en votre nom dans les dépôts que vous n’administrez pas. Toutefois, si les rapports de vulnérabilités privés sont activés pour le dépôt, vous pouvez signaler vous-même une vulnérabilité en privé. Pour plus d’informations, consultez « Signalement privé d’une vulnérabilité de sécurité ».

About repository security advisories

La divulgation des vulnérabilités est un domaine où la collaboration entre les rapporteurs de vulnérabilités, par exemple, les chercheurs en sécurité et les chargés de maintenance de projet, est très importante. Les deux parties doivent travailler ensemble à partir du moment où une vulnérabilité de sécurité potentiellement dangereuse est trouvée et jusqu’à ce qu’elle soit divulguée publiquement, idéalement avec un patch disponible. En règle générale, quand quelqu’un indique en privé une vulnérabilité de sécurité à un chargé de maintenance, ce dernier développe un correctif, le valide et avertit les utilisateurs du projet ou du package. For more information, see "À propos de la divulgation coordonnée des vulnérabilités de sécurité."

Les avis de sécurité des référentiels permettent aux gestionnaires des référentiels de discuter d’une vulnérabilité de sécurité dans un projet et de la résoudre en privé. Après avoir collaboré sur un correctif, ils peuvent publier l’avis de sécurité pour rendre publique la vulnérabilité de sécurité auprès de la communauté du projet. En publiant des avis de sécurité, les chargés de maintenance des dépôts facilitent la mise à jour des dépendances de package pour leur communauté et la recherche de l’impact des vulnérabilités de sécurité.

With repository security advisories, you can:

  1. Create a draft security advisory, and use the draft to privately discuss the impact of the vulnerability on your project. For more information, see "Création d’un avis de sécurité de dépôt."
  2. Privately collaborate to fix the vulnerability in a temporary private fork.
  3. Publish the security advisory to alert your community of the vulnerability once a patch is released. For more information, see "Publication d’un avis de sécurité de dépôt."

Vous pouvez également utiliser des avis de sécurité des référentiels pour republier les détails d’une vulnérabilité de sécurité que vous avez déjà divulguée à un autre emplacement en effectuant un copier-coller des détails de la vulnérabilité dans un nouvel avis de sécurité.

You can also use the REST API to create, list, and update repository security advisories. For more information, see "Avis de sécurité des dépôts" in the REST API documentation.

You can give credit to individuals who contributed to a security advisory. For more information, see "Modification d’un avis de sécurité de dépôt."

Vous pouvez créer une stratégie de sécurité afin de fournir aux utilisateurs des instructions pour signaler des vulnérabilités de sécurité dans votre projet. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. Anyone can submit a change to an advisory published in the GitHub Advisory Database. For more information, see "Modification des avis de sécurité dans la base de données d’avis de GitHub."

If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.

Vous pouvez également rejoindre GitHub Security Lab pour parcourir les rubriques liées à la sécurité et contribuer aux outils et projets de sécurité.

CVE identification numbers

GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. The security advisory form on GitHub is a standardized form that matches the CVE description format.

GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.

When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. Si vous n’avez pas encore de numéro d’identification CVE pour la faille de sécurité de votre projet et que vous souhaitez en obtenir un, vous pouvez effectuer une demande auprès de GitHub. GitHub examine généralement les demandes dans les 72 heures. Une demande de numéro d’identification CVE ne rend pas votre avis de sécurité public. Si votre avis de sécurité est éligible, GitHub lui réserve un numéro d’identification CVE. Nous publierons ensuite les détails CVE une fois que vous aurez rendu public votre avis de sécurité. Toute personne disposant d’autorisations d’administrateur pour un avis de sécurité peut effectuer une demande de numéro d’identification CVE.

Si vous avez déjà un numéro d’identification CVE que vous souhaitez utiliser, par exemple si vous utilisez une autorité de numérotation CVE (CNA) autre que GitHub, ajoutez-le au formulaire d’avis de sécurité. Cela peut se produire, par exemple, si vous souhaitez que l’avis soit cohérent avec d’autres communications que vous prévoyez d’envoyer au moment de la publication. GitHub ne peut pas attribuer de numéro d’identification CVE à votre projet s’il est couvert par une autre CNA.

Once you've published the security advisory and GitHub has assigned a CVE identification number to the vulnerability, GitHub publishes the CVE to the MITRE database. For more information, see "Publication d’un avis de sécurité de dépôt."

Dependabot alerts for published security advisories

GitHub examinera chaque avis de sécurité publié, l’ajoutera à la GitHub Advisory Database et pourra utiliser l’avis de sécurité pour envoyer des Dependabot alerts aux référentiels concernés. Si l’avis de sécurité provient d’une duplication, nous n’enverrons une alerte que si la duplication possède un package, publié sous un nom unique, sur un registre de packages public. Ce processus peut prendre jusqu’à 72 heures et GitHub peut vous contacter pour vous demander plus d’informations.

Pour plus d’informations sur Dependabot alerts, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ». Pour plus d’informations sur la GitHub Advisory Database, consultez Exploration des avis de sécurité dans la base de données GitHub Advisory.