Skip to main content

Como relatar de modo privado uma vulnerabilidade de segurança

Alguns repositórios públicos configuram avisos de segurança para que qualquer pessoa possa relatar vulnerabilidades de segurança de modo direto e privado aos mantenedores.

Proprietários e administradores de repositórios públicos podem habilitar relatórios de vulnerabilidades privados nos respectivos repositórios. Para obter mais informações, confira "Como configurar relatórios privados de vulnerabilidades em um repositório".

Note

  • Caso você tenha permissões de administrador ou de segurança em um repositório público, não é preciso enviar um relatório de vulnerabilidade. Em vez disso, você pode criar um rascunho de aviso de segurança diretamente. Para saber mais, confira Criando uma consultoria de segurança do repositório.
  • A capacidade de relatar em particular uma vulnerabilidade em um repositório não está relacionada à presença de um arquivo SECURITY.md no diretório docs ou na raiz desse repositório.
    • O arquivo SECURITY.md contém a política de segurança do repositório. Os administradores do repositório podem adicionar e usar esse arquivo para fornecer instruções públicas sobre como relatar uma vulnerabilidade de segurança em seu repositório. Para saber mais, confira Adicionar uma política de segurança a um repositório.
    • Você só pode relatar uma vulnerabilidade privada em repositórios em que o relatório de vulnerabilidades particulares está habilitado e não precisa seguir as instruções no arquivo SECURITY.md. Esse processo de relatório é totalmente particular e o GitHub notifica os administradores do repositório diretamente sobre o envio.

Sobre os relatórios privados de uma vulnerabilidade de segurança

Os pesquisadores de segurança costumam se sentir responsáveis por alertar os usuários sobre uma vulnerabilidade que pode ser explorada. Se não houver nenhuma instrução clara sobre como entrar em contato com os mantenedores do repositório que contém a vulnerabilidade, talvez os pesquisadores de segurança não tenham outra opção a não ser postar um comunicado sobre a vulnerabilidade nas mídias sociais, enviar mensagens diretas para o mantenedor ou até criar problemas públicos. Essa situação pode potencialmente levar a uma divulgação pública dos detalhes da vulnerabilidade.

Com o relatório privado de vulnerabilidades, os pesquisadores de segurança podem relatar vulnerabilidades diretamente ao mantenedor do repositório de um jeito fácil usando um formulário simples.

Para os pesquisadores de segurança, os benefícios de usar relatórios de vulnerabilidades privados são:

  • Menos frustração e menos tempo gasto tentando descobrir como contatar o mantenedor.
  • Um processo mais fácil para divulgar e discutir detalhes de vulnerabilidade.
  • A oportunidade de discutir detalhes da vulnerabilidade de modo privado com o mantenedor do repositório.

Note

Se o repositório não tiver relatórios de vulnerabilidade privados habilitados, você precisará iniciar o processo de relatório seguindo as instruções na política de segurança do repositório ou criar um problema solicitando aos mantenedores um contato de segurança preferencial. Para obter mais informações, confira "Sobre a divulgação coordenada de vulnerabilidades de segurança".

Como relatar de modo privado uma vulnerabilidade de segurança

Se um repositório público tiver o relatório privado de vulnerabilidades habilitado, qualquer pessoa poderá relatar vulnerabilidades de segurança de modo privado aos mantenedores do repositório. Os usuários também podem avaliar a segurança geral de um repositório público e sugerir uma política de segurança. Para saber mais, confira Como avaliar as configurações de segurança de um repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Clique em Relatar uma vulnerabilidade para abrir o formulário de aviso.

  4. Preencha o formulário de detalhes do aviso.

    Tip

    Nesse formulário, somente o título e a descrição são obrigatórios. (No formulário geral de aviso de segurança de rascunho, iniciado pelo mantenedor do repositório, a especificação do ecossistema também é obrigatória). No entanto, recomendamos que os pesquisadores de segurança forneçam o máximo de informações possível no formulário para que os mantenedores possam tomar uma decisão informada sobre o relatório enviado. Você pode adotar o modelo usado por nossos pesquisadores de segurança do GitHub Security Lab, que está disponível no "repositório github/securitylab".

    Para obter mais informações sobre os campos disponíveis e as diretrizes sobre como preencher o formulário, confira "Criando uma consultoria de segurança do repositório" e "Melhores práticas para escrever avisos de segurança do repositório".

  5. Na parte inferior do formulário, clique em Enviar relatório. O GitHub exibirá uma mensagem informando que os mantenedores foram notificados e que você tem um crédito pendente para esse aviso de segurança.

    Tip

    Quando o relatório é enviado, o GitHub adiciona automaticamente o relator da vulnerabilidade como colaborador e como um usuário creditado no aviso proposto.

  6. Opcionalmente, clique em Iniciar um fork privado temporário se quiser começar a corrigir o problema. Observe que somente o mantenedor do repositório pode mesclar as alterações do fork privado com o repositório pai.

    Captura de tela do final de um aviso de segurança. Um botão, rotulado "Iniciar um fork temporário", está contornado em laranja escuro.

As próximas etapas dependem da ação executada pelo mantenedor do repositório. Para saber mais, confira Gerenciar vulnerabilidades de segurança relatadas privadamente.