Skip to main content

Publicando uma consultoria de segurança do repositório

Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto.

Qualquer pessoa com permissão de administrador para um consultor de segurança pode publicar a consultoria de segurança.

Observação: este artigo se aplica à edição de consultorias no nível do repositório como um proprietário do repositório.

Os usuários que não são proprietários do repositório podem contribuir com consultorias de segurança global no GitHub Advisory Database em github.com/advisories. As edições nas consultorias globais não mudarão ou afetarão a forma como a consultoria aparece no repositório. Para obter mais informações, confira "Como editar consultorias de segurança no GitHub Advisory Database".

Pré-requisitos

Antes de publicar uma consultoria de segurança ou solicitar um número de identificação CVE, você deve criar um rascunho da consultoria de segurança e fornecer informações sobre as versões do seu projeto afetadas pela vulnerabilidade de segurança. Para obter mais informações, confira "Como criar um aviso de segurança do repositório".

Se você criou uma consultoria de segurança, mas ainda não forneceu as informações sobre as versões do seu projeto que a vulnerabilidade de segurança afeta, você pode editar a consultoria de segurança. Para obter mais informações, confira "Como editar um aviso de segurança do repositório".

Sobre a publicação de uma consultoria de segurança

Ao publicar uma consultoria de segurança, você notifica a sua comunidade sobre a vulnerabilidade de segurança que a consultoria de segurança aborda. A publicação de uma consultoria de segurança torna mais fácil para a sua comunidade atualizar as dependências do pacote e pesquisar o impacto da vulnerabilidade de segurança.

Você também pode usar GitHub Security Advisories para republicar as informações de uma vulnerabilidade de segurança que você já revelou em outro lugar, copiando e colando as informações de vulnerabilidade em uma nova consultoria de segurança.

Antes de publicar uma consultoria de segurança, você pode colaborar de forma privada para consertar a vulnerabilidade em uma bifurcação privada temporária. Para obter mais informações, confira "Colaboração em um fork privado temporário para resolver uma vulnerabilidade de segurança do repositório".

Aviso: sempre que possível, adicione uma versão de correção a um aviso de segurança antes de publicar o aviso. Se você não fizer isso, a sua consultoria será publicado sem uma versão de correção e Dependabot alertará os seus usuários sobre o problema, sem oferecer qualquer versão segura para a qual atualizar.

Recomendamos que você tome as seguintes medidas nestas situações diferentes:

  • Se uma versão de correção estiver disponível imediatamente, e você puder, espere para divulgar o problema quando a correção estiver pronta.
  • Se uma versão de correção estiver em desenvolvimento mas ainda não disponível, mencione isso no consultor e edite a consultoria mais tarde, após a publicação.
  • Se você não está planejando corrigir o problema, tenha isso claro na consultoria para que os usuários não entrem em contato com você para perguntar quando será feita uma correção. Neste caso, é útil incluir as etapas que os usuários podem seguir para mitigar o problema.

Ao publicar um rascunho de consultoria a partir de um repositório público, todos poderão ver:

  • A versão atual dos dados da consultoria.
  • Todos os créditos da consultoria que os usuários creditados aceitaram.

Observação: o público-alvo em geral nunca terá acesso ao histórico de edição do aviso e verá apenas a versão publicada.

Depois de publicar uma consultoria de segurança, sua URL permanecerá a mesma de antes da publicação da consultoria de segurança. Qualquer pessoa com acesso de leitura ao repositório pode ver a consultoria de segurança. Os colaboradores na consultoria de segurança podem continuar a visualizar conversas anteriores, incluindo o fluxo de comentários completo na consultoria de segurança, a menos que alguém com permissões de administração remova o colaborador da consultoria de segurança.

Se você precisar atualizar ou corrigir informações em uma consultoria de segurança que publicou, poderá editar a consultoria de segurança. Para obter mais informações, confira "Como editar um aviso de segurança do repositório".

Publicar uma consultoria de segurança

A publicação de uma consultor de segurança elimina a bifurcação privada temporária para a consultoria de segurança.

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Guia Segurança 1. Na barra lateral esquerda, clique em Consultorias de segurança. Guia Consultorias de segurança
  2. Na lista "consultoria de segurança", clique na consultoria de segurança que deseja publicar. Aviso de segurança na lista
  3. Na parte inferior da página, clique em Publicar aviso. Botão Publicar aviso

Dependabot alerts para consultorias de segurança publicadas

GitHub irá revisar cada consultoria de segurança publicada, adicioná-la ao GitHub Advisory Database, e poderá utilizar a consultoria de segurança para enviar Dependabot alerts aos repositórios afetados. Se a consultoria de segurança vier de uma bifurcação, só enviaremos um alerta se a bifurcação possuir um pacote, publicado com um nome único, em um registro de pacote público. Este processo pode levar até 72 horas e GitHub pode entrar em contato com você para obter mais informações.

Para obter mais informações sobre Dependabot alerts, confira "Sobre Dependabot alerts" e "Sobre as Dependabot security updates". Para obter mais informações sobre o GitHub Advisory Database, confira "Como procurar avisos no GitHub Advisory Database".

Solicitando um número de identificação CVE (Opcional)

Caso você deseje ter um número de identificação CVE para a vulnerabilidade de segurança no seu projeto e ainda não tiver um, solicite um número de identificação CVE ao GitHub. GitHub geralmente revisa o pedido em 72 horas. Solicitar um número de identificação CVE não torna público a sua consultoria de segurança público. Se o seu aviso de segurança for qualificado para um CVE, o GitHub reservará um número de identificação CVE para ele. Em seguida, publicaremos os detalhes da CVE depois que você tornar o aviso de segurança público. Qualquer pessoa com permissões de administrador em um aviso de segurança pode solicitar um número de identificação CVE.

Se você já tiver uma CVE que deseja usar, por exemplo, se usar uma CNA (Autoridade de Numeração CVE) diferente do GitHub, adicione a CVE ao formulário de aviso de segurança. Isso pode acontecer, por exemplo, se você quiser que a consultoria seja consistente com outras comunicações que pretende enviar no horário da publicação. O GitHub não poderá atribuir CVEs ao seu projeto se ele for coberto por outra CNA. Para obter mais informações, confira "Sobre os GitHub Security Advisories para repositórios".

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Guia Segurança 1. Na barra lateral esquerda, clique em Consultorias de segurança. Guia Consultorias de segurança
  2. Na lista "consultoria de segurança", clique na consultoria de segurança para o qual deseja solicitar um número de identificação CVE. Aviso de segurança na lista
  3. Use o menu suspenso Publicar aviso e clique em Solicitar CVE. Solicitar CVE no menu suspenso
  4. Clique em Solicitar CVE. Botão Solicitar CVE

Leitura adicional