Sobre políticas de segurança
Para fornecer instruções às pessoas para relatar vulnerabilidades de segurança no seu projeto, você pode adicionar um arquivo SECURITY.md à raiz do repositório, a docs
ou à pasta .github
. Quando alguém criar um problema no seu repositório, ele verá um link para a política de segurança do projeto.
Você pode criar uma política de segurança padrão para sua organização ou conta pessoal. Para obter mais informações, confira "Como criar um arquivo padrão de integridade da comunidade".
Dica: para ajudar as pessoas a encontrar sua política de segurança, crie um link para o arquivo SECURITY.md de outros locais no repositório, como o arquivo LEIAME. Para obter mais informações, confira "Sobre LEIAMEs".
Depois que alguém relatar uma vulnerabilidade de segurança no seu projeto, use as GitHub Security Advisories para divulgar, corrigir e publicar informações sobre a vulnerabilidade. Para saber mais sobre o processo de relatório e divulgação de vulnerabilidades no GitHub, confira "Sobre a divulgação coordenada de vulnerabilidades de segurança". Para saber mais sobre os avisos de segurança do repositório, confira "Sobre os avisos de segurança do repositório".
Você também pode ingressar no GitHub Security Lab para procurar tópicos relacionados à segurança e contribuir com ferramentas de segurança e projetos.
Adicionar uma política de segurança a um repositório
-
No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
-
Na barra lateral esquerda, em "Relatórios", clique em Política.
-
Clique em Iniciar instalação.
-
No novo arquivo SECURITY.md, adicione informações sobre as versões compatíveis com seu projeto e como relatar uma vulnerabilidade.
-
Clique em Fazer commit das alterações...
-
No campo "Mensagem do commit", digite uma mensagem curta e relevante que descreva a alteração que você fez no arquivo. Você pode atribuir o commit a mais de um autor na mensagem de commit. Para obter mais informações, confira "Criar um commit com vários autores".
-
Se você tiver mais de um endereço de email associado à sua conta do GitHub.com, clique no menu suspenso do endereço de email e selecione o endereço de email a ser usado como o endereço de email do autor do Git. Apenas endereços de e-mail verificados aparecem neste menu suspenso. Se você habilitou a privacidade do endereço de email,
<username>@users.noreply.github.com
é o endereço de email do autor de commit padrão. Para obter mais informações, confira "Configurar o endereço de e-mail do commit". 1. Abaixo dos campos de mensagem do commit, opte por adicionar o commit ao branch atual ou a um novo branch. Se seu branch atual for o branch-padrão, você deverá optar por criar um novo branch para seu commit e, em seguida, criar um pull request. Para obter mais informações, confira "Como criar uma solicitação de pull". 1. Clique em Fazer commit de alterações ou em Propor alterações.