Skip to main content

Sobre as Consultorias de Segurança do GitHub para repositórios

Você pode usar o Aviso de Segurança do GitHub para discutir, corrigir e publicar informações sobre vulnerabilidades de segurança no seu repositório.

Qualquer pessoa com permissões de administrador em um repositório pode criar uma consultoria de segurança.

Qualquer pessoa com permissões de administrador para um repositório também tem permissões de administrador para todas as consultorias de segurança nesse repositório. Pessoas com permissões de administrador para uma consultoria de segurança podem adicionar colaboradores, e os colaboradores têm permissões de gravação para a consultoria de segurança.

Observação: Se você é um pesquisador de segurança, você deve entrar em contato diretamente com os mantenedores para pedir que criem consultorias de segurança ou emitirem CVEs em seu nome em repositórios que você não administra.

Sobre o Aviso de Segurança do GitHub

A divulgação de vulnerabilidades é uma área onde a colaboração entre relatores de vulnerabilidade, como investigadores de segurança, e mantenedores de projeto, é muito importante. A partir do momento em que se detecta uma vulnerabilidade potencialmente prejudicial em termos de segurança, ambas as partes terão de trabalhar em conjunto até que uma vulnerabilidade seja divulgada para todos, idealmente com um patch disponível. Normalmente, quando alguém deixa um mantenedor saber em particular sobre uma vulnerabilidade de segurança, o mantenedor desenvolve uma correção, valida-a e notifica os usuários do projeto ou pacote. Para obter mais informações, consulte "Sobre a divulgação coordenada de vulnerabilidades de segurança".

Aviso de Segurança do GitHub permite que os mantenedores de repositório discutam e consertem uma vulnerabilidade de segurança em um projeto. Após colaborar em uma correção, os mantenedores dos repositórios podem publicar o aviso de segurança para divulgar publicamente a vulnerabilidade de segurança da comunidade do projeto. Ao publicar a consultoria de segurança, os mantenedores de repositórios facilitam para a sua comunidade a atualização de dependências do pacote e a pesquisa do impacto das vulnerabilidades de segurança.

Com Aviso de Segurança do GitHub, você pode:

  1. Criar um aviso de segurança rascunho e usar o rascunho para discutir em particular o impacto da vulnerabilidade no seu projeto. Para obter mais informações, consulte "Criando uma consultoria de segurança do repositório".
  2. Colaborar de modo particular com a correção da vulnerabilidade em uma bifurcação privada temporária.
  3. Publique a consultoria de segurança para alertar a sua comunidade sobre a vulnerabilidade depois que um patch for lançado. Para obter mais informações, consulte "Publicando uma consultoria de segurança do repositório".

Você também pode usar Aviso de Segurança do GitHub para republicar as informações de uma vulnerabilidade de segurança que você já revelou em outro lugar, copiando e colando as informações de vulnerabilidade em uma nova consultoria de segurança.

Você pode dar crédito a indivíduos que contribuíram para um aviso de segurança. Para obter mais informações, consulte "Editando uma consultoria de segurança do repositório".

Você pode criar uma política de segurança para dar às pessoas instruções para relatar vulnerabilidades de segurança no seu projeto. Para obter mais informações, consulte "Adicionar uma política de segurança ao seu repositório".

Se você criou uma consultoria de segurança no seu repositório, o consultório de segurança permanecerá no seu repositório. Publicamos consultorias de segurança para qualquer um dos ecossistemas compatíveis com o gráfico de dependências para o Banco de Dados Consultivo GitHub em github.com/advisories. Qualquer um pode enviar uma alteração para um consultor publicado em Banco de Dados Consultivo GitHub. Para obter mais informações, consulte "Editando consultorias de segurança em Banco de Dados Consultivo GitHub."

Se uma consultoria de segurança for especificamente para o npm, nós também publicamos a consultoria nas consultorias de segurança do npm. Para obter mais informações, consulte npmjs.com/advisories.

Você também pode participar de Laboratório de Segurança GitHub para pesquisar tópicos relacionados a segurança e contribuir com ferramentas e projetos de segurança.

Números de identificação CVE

Aviso de Segurança do GitHub baseia-se na base da lista de Vulnerabilidades e Exposições Comuns (CVE). O formulário de consultoria de segurança em GitHub é um formulário padronizado que corresponde ao formato de descrição CVE.

GitHub é uma Autoridade de Numeração CVE (CNA) e está autorizada a atribuir números de identificação CVE. Para obter mais informações, consulte "Sobre CVE" e "Autoridades de Numeração CVE" no site da CVE.

Ao criar um aviso de segurança para um repositório público no GitHub, você tem a opção de fornecer um número de identificação CVE existente para a vulnerabilidade de segurança. If you want a CVE identification number for the security vulnerability in your project, and don't already have one, you can request a CVE identification number from GitHub. GitHub geralmente revisa o pedido em 72 horas. Solicitar um número de identificação CVE não torna público a sua consultoria de segurança público. If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you make your security advisory public. Anyone with admin permissions to a security advisory can request a CVE identification number.

If you already have a CVE you want to use, for example, if you use a CVE Numbering Authority (CNA) other than GitHub, add the CVE to the security advisory form. Isso pode acontecer, por exemplo, se você quiser que a consultoria seja consistente com outras comunicações que pretende enviar no horário da publicação. GitHub cannot assign CVEs to your project if it is covered by another CNA.

Uma que você publicou a consultoria de segurança e o GitHub atribuiu um número de identificação CVE para a vulnerabilidade, o GitHub irá publicar o CVE no banco de dados do MITRE. Para obter mais informações, consulte "Publicando uma consultoria de segurança do repositório".

Alertas do Dependabot para o aviso de segurança publicado

GitHub irá revisar cada consultoria de segurança publicada, adicioná-la ao Banco de Dados Consultivo GitHub, e poderá utilizar a consultoria de segurança para enviar Alertas do Dependabot aos repositórios afetados. Se a consultoria de segurança vier de uma bifurcação, só enviaremos um alerta se a bifurcação possuir um pacote, publicado com um nome único, em um registro de pacote público. Este processo pode levar até 72 horas e GitHub pode entrar em contato com você para obter mais informações.

Para obter mais informações sobre Alertas do Dependabot, consulte "Sobre Alertas do Dependabot" e "Sobre Atualizações de segurança do Dependabot". For more information about Banco de Dados Consultivo GitHub, see "Browsing security advisories in the Banco de Dados Consultivo GitHub."