Qualquer pessoa com permissões de administrador em um repositório pode criar uma consultoria de segurança.
Observação: se você é um pesquisador de segurança, você deve entrar em contato diretamente com os mantenedores para pedir que criem consultorias de segurança ou emitam CVEs em seu nome em repositórios que você não administra. No entanto, se os relatórios de vulnerabilidade privados estiverem habilitados para o repositório, será possível relatar uma vulnerabilidade de maneira privada por conta própria. Para saber mais, confira "Como relatar de maneira privada uma vulnerabilidade de segurança".
Como criar um aviso de segurança
- No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança.
1. Na barra lateral esquerda, em "Relatório", clique em Avisos.
- Clique em Novo rascunho de aviso de segurança para abrir o formulário de aviso de rascunho. Os campos marcados com um asterisco são obrigatórios.
- Digite um título para sua consultoria de segurança.
- Edite o produto e as versões afetados pela vulnerabilidade de segurança que esta consultoria de segurança aborda. Se aplicável, você pode adicionar vários produtos afetados ao mesmo aviso.
Para obter informações de como especificar informações sobre o formulário, incluindo as versões afetadas, confira "Práticas recomendadas para criar avisos de segurança do repositório". 1. Selecione a gravidade da vulnerabilidade de segurança. Para atribuir uma pontuação de CVSS, selecione "Avaliar a gravidade usando CVSS" e clique nos valores apropriados na calculadora. O GitHub calcula a pontuação de acordo com a "Calculadora do Sistema de Pontuação de Vulnerabilidade Comum".
1. Adicione enumeradores de fraquezas comuns (CWE) para os tipos de fraquezas de segurança que esta consultoria de segurança aborda. Para ver uma lista completa de CWEs, confira a "Common Weakness Enumeration" do MITRE.
- Se você tiver um identificador CVE existente, selecione "Tenho um identificador CVE existente" e digite o identificador CVE na caixa de texto. Caso contrário, você poderá solicitar um CVE a partir de GitHub posteriormente. Para obter mais informações, confira "Sobre as GitHub Security Advisories". 1. Digite a descrição da vulnerabilidade de segurança.
- Clique em Criar consultoria de segurança de rascunho.
Próximas etapas
- Faça um comentário sobre o rascunho da consultoria de segurança para discutir a vulnerabilidade com sua equipe.
- Adicione colaboradores à consultora de segurança. Para obter mais informações, confira "Como adicionar um colaborador a uma consultoria de segurança do repositório".
- Colaborar de modo particular com a correção da vulnerabilidade em uma bifurcação privada temporária. Para obter mais informações, confira "Colaboração em um fork privado temporário para resolver uma vulnerabilidade de segurança do repositório".
- Adicione indivíduos que deveriam receber crédito por contribuírem para a consultoria de segurança. Para obter mais informações, confira "Como editar uma consultoria de segurança do repositório".
- Publicar a consultoria de segurança para notificar a sua comunidade sobre a vulnerabilidade de segurança. Para obter mais informações, confira "Como publicar uma consultoria de segurança do repositório".