Qualquer pessoa com permissões de administrador em um repositório pode criar uma consultoria de segurança.
Qualquer pessoa com permissões de administrador para um repositório também tem permissões de administrador para todas as consultorias de segurança nesse repositório. Pessoas com permissões de administrador para uma consultoria de segurança podem adicionar colaboradores, e os colaboradores têm permissões de gravação para a consultoria de segurança.
Observação: se você é um pesquisador de segurança, você deve entrar em contato diretamente com os mantenedores para pedir que criem consultorias de segurança ou emitam CVEs em seu nome em repositórios que você não administra. No entanto, se os relatórios de vulnerabilidade privados estiverem habilitados para o repositório, será possível relatar uma vulnerabilidade de maneira privada por conta própria. Para obter mais informações, confira "Como relatar de modo privado uma vulnerabilidade de segurança".
About repository security advisories
A divulgação de vulnerabilidades é uma área onde a colaboração entre relatores de vulnerabilidade, como investigadores de segurança, e mantenedores de projeto, é muito importante. A partir do momento em que se detecta uma vulnerabilidade potencialmente prejudicial em termos de segurança, ambas as partes terão de trabalhar em conjunto até que uma vulnerabilidade seja divulgada para todos, idealmente com um patch disponível. Normalmente, quando alguém deixa um mantenedor saber em particular sobre uma vulnerabilidade de segurança, o mantenedor desenvolve uma correção, valida-a e notifica os usuários do projeto ou pacote. For more information, see "Sobre a divulgação coordenada de vulnerabilidades de segurança."
Os avisos de segurança do repositório permitem que os responsáveis pelo repositório discutam e corrijam de modo privado as vulnerabilidades de segurança em um projeto. Depois de colaborar em uma correção, os responsáveis pelo repositório podem publicar o aviso de segurança para divulgar publicamente a vulnerabilidade de segurança na comunidade do projeto. Ao publicar avisos de segurança, os responsáveis pelo repositório facilitam para a comunidade a atualização das dependências do pacote e a pesquisa sobre o impacto das vulnerabilidades de segurança.
With repository security advisories, you can:
- Create a draft security advisory, and use the draft to privately discuss the impact of the vulnerability on your project. For more information, see "Criando uma consultoria de segurança do repositório."
- Privately collaborate to fix the vulnerability in a temporary private fork.
- Publish the security advisory to alert your community of the vulnerability once a patch is released. For more information, see "Publicando uma consultoria de segurança do repositório."
Você também pode usar avisos de segurança do repositório para republicar os detalhes de uma vulnerabilidade de segurança que você já revelou em outro lugar, copiando e colando os detalhes da vulnerabilidade em um novo aviso de segurança.
You can also use the REST API to create, list, and update repository security advisories. For more information, see "Avisos de segurança do repositório" in the REST API documentation.
You can give credit to individuals who contributed to a security advisory. For more information, see "Editando uma consultoria de segurança do repositório."
Você pode criar uma política de segurança para dar às pessoas instruções para relatar vulnerabilidades de segurança no seu projeto. Para obter mais informações, confira "Adicionar uma política de segurança a um repositório".
If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. Anyone can submit a change to an advisory published in the GitHub Advisory Database. For more information, see "Editando consultorias de segurança no banco de dados consultivo do GitHub."
If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.
Você também pode ingressar no GitHub Security Lab para procurar tópicos relacionados à segurança e contribuir com ferramentas de segurança e projetos.
CVE identification numbers
GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. The security advisory form on GitHub is a standardized form that matches the CVE description format.
GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.
When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. Caso você deseje ter um número de identificação CVE para a vulnerabilidade de segurança no seu projeto e ainda não tiver um, solicite um número de identificação CVE ao GitHub. GitHub geralmente revisa o pedido em 72 horas. Solicitar um número de identificação CVE não torna público a sua consultoria de segurança público. Se o seu aviso de segurança for qualificado para um CVE, o GitHub reservará um número de identificação CVE para ele. Em seguida, publicaremos os detalhes da CVE depois que você tornar o aviso de segurança público. Qualquer pessoa com permissões de administrador em um aviso de segurança pode solicitar um número de identificação CVE.
Se você já tiver uma CVE que deseja usar, por exemplo, se usar uma CNA (Autoridade de Numeração CVE) diferente do GitHub, adicione a CVE ao formulário de aviso de segurança. Isso pode acontecer, por exemplo, se você quiser que a consultoria seja consistente com outras comunicações que pretende enviar no horário da publicação. O GitHub não poderá atribuir CVEs ao seu projeto se ele for coberto por outra CNA.
Once you've published the security advisory and GitHub has assigned a CVE identification number to the vulnerability, GitHub publishes the CVE to the MITRE database. For more information, see "Publicando uma consultoria de segurança do repositório."
Dependabot alerts for published security advisories
GitHub irá revisar cada consultoria de segurança publicada, adicioná-la ao GitHub Advisory Database, e poderá utilizar a consultoria de segurança para enviar Dependabot alerts aos repositórios afetados. Se a consultoria de segurança vier de uma bifurcação, só enviaremos um alerta se a bifurcação possuir um pacote, publicado com um nome único, em um registro de pacote público. Este processo pode levar até 72 horas e GitHub pode entrar em contato com você para obter mais informações.
Para obter mais informações sobre Dependabot alerts, confira "Sobre alertas do Dependabot" e "Sobre as atualizações de segurança do Dependabot". Para obter mais informações sobre GitHub Advisory Database, confira "Como procurar avisos de segurança no GitHub Advisory Database".