Anyone with admin permissions to a repository can create a security advisory.
Observação: se você é um pesquisador de segurança, você deve entrar em contato diretamente com os mantenedores para pedir que criem consultorias de segurança ou emitam CVEs em seu nome em repositórios que você não administra. No entanto, se os relatórios de vulnerabilidade privados estiverem habilitados para o repositório, será possível relatar uma vulnerabilidade de maneira privada por conta própria. Para saber mais, confira "Como relatar de maneira privada uma vulnerabilidade de segurança".
Creating a security advisory
- On GitHub.com, navigate to the main page of the repository.
- Abaixo do nome do repositório, clique em Segurança.
- Na barra lateral esquerda, em "Relatório", clique em Avisos.
- Click New draft security advisory to open the draft advisory form. The fields marked with an asterisk are required.
- Type a title for your security advisory.
- Edite o produto e as versões afetados pela vulnerabilidade de segurança que esta consultoria de segurança aborda. Se aplicável, você pode adicionar vários produtos afetados ao mesmo aviso.
Para obter informações de como especificar informações sobre o formulário, incluindo as versões afetadas, confira "Práticas recomendadas para criar avisos de segurança do repositório". - Selecione a gravidade da vulnerabilidade de segurança. Para atribuir uma pontuação de CVSS, selecione "Avaliar a gravidade usando CVSS" e clique nos valores apropriados na calculadora. O GitHub calcula a pontuação de acordo com a "Calculadora do Sistema de Pontuação de Vulnerabilidade Comum".
- Adicione enumeradores de fraquezas comuns (CWE) para os tipos de fraquezas de segurança que esta consultoria de segurança aborda. Para ver uma lista completa de CWEs, confira a "Common Weakness Enumeration" do MITRE.
- Se você tiver um identificador CVE existente, selecione "Tenho um identificador CVE existente" e digite o identificador CVE na caixa de texto. Caso contrário, você poderá solicitar um CVE a partir de GitHub posteriormente. Para obter mais informações, confira "Sobre as GitHub Security Advisories".
- Digite a descrição da vulnerabilidade de segurança.
- Click Create draft security advisory.
Next steps
- Comment on the draft security advisory to discuss the vulnerability with your team.
- Add collaborators to the security advisory. For more information, see "Adding a collaborator to a repository security advisory."
- Privately collaborate to fix the vulnerability in a temporary private fork. For more information, see "Collaborating in a temporary private fork to resolve a repository security vulnerability."
- Add individuals who should receive credit for contributing to the security advisory. For more information, see "Editing a repository security advisory."
- Publish the security advisory to notify your community of the security vulnerability. For more information, see "Publishing a repository security advisory."