Skip to main content

Como relatar de modo privado uma vulnerabilidade de segurança

Alguns repositórios públicos configuram avisos de segurança para que qualquer pessoa possa relatar vulnerabilidades de segurança de modo direto e privado aos mantenedores.

Observação: o relatório privado de vulnerabilidades está em versão beta e sujeito a alterações no momento.

Proprietários e administradores de repositórios públicos podem habilitar relatórios de vulnerabilidades privados nos respectivos repositórios. Para saber mais, confira "Como configurar relatórios privados de vulnerabilidades em um repositório".

Sobre os relatórios privados de uma vulnerabilidade de segurança

Os pesquisadores de segurança costumam se sentir responsáveis por alertar os usuários sobre uma vulnerabilidade que pode ser explorada. Se não houver nenhuma instrução clara sobre como entrar em contato com os mantenedores do repositório que contém a vulnerabilidade, talvez os pesquisadores de segurança não tenham outra opção a não ser postar um comunicado sobre a vulnerabilidade nas mídias sociais, enviar mensagens diretas para o mantenedor ou até criar problemas públicos. Essa situação pode potencialmente levar a uma divulgação pública dos detalhes da vulnerabilidade.

Com o relatório privado de vulnerabilidades, os pesquisadores de segurança podem relatar vulnerabilidades diretamente ao mantenedor do repositório de um jeito fácil usando um formulário simples.

Para os pesquisadores de segurança, os benefícios de usar relatórios de vulnerabilidades privados são:

  • Menos frustração e menos tempo gasto tentando descobrir como contatar o mantenedor.
  • Um processo mais fácil para divulgar e discutir detalhes de vulnerabilidade.
  • A oportunidade de discutir detalhes da vulnerabilidade de modo privado com o mantenedor do repositório.

Observação: se o repositório não tiver relatórios de vulnerabilidade privados habilitados, você precisará iniciar o processo de relatório seguindo as instruções na política de segurança do repositório ou criar um problema solicitando aos mantenedores um contato de segurança preferencial. Para obter mais informações, confira "Sobre a divulgação coordenada das vulnerabilidades de segurança."

Como relatar de modo privado uma vulnerabilidade de segurança

Os pesquisadores de segurança podem relatar de modo privado uma vulnerabilidade de segurança aos mantenedores de repositório.

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Guia Segurança 1. Na barra lateral esquerda, em "Relatório", clique em Avisos. Guia Consultorias de segurança

  2. Clique em Relatar uma vulnerabilidade para abrir o formulário de aviso.

    Captura de tela que mostra o botão "Relatar uma vulnerabilidade"

  3. Preencha o formulário de detalhes do aviso.

    Dica: nesse formulário, somente o título e a descrição são obrigatórios. (No formulário geral de aviso de segurança de rascunho, iniciado pelo mantenedor do repositório, a especificação do ecossistema também é obrigatória). No entanto, recomendamos que os pesquisadores de segurança forneçam o máximo de informações possível no formulário para que os mantenedores possam tomar uma decisão informada sobre o relatório enviado. Você pode adotar o modelo usado por nossos pesquisadores de segurança do GitHub Security Lab, que está disponível no repositório github/securitylab."

    Para obter mais informações sobre os campos disponíveis e as diretrizes de como preencher o formulário, confira "Como criar um aviso de segurança de repositório" e "Práticas recomendadas para criar avisos de segurança de repositório".

  4. Na parte inferior do formulário, clique em Enviar relatório. O GitHub exibirá uma mensagem informando que os mantenedores foram notificados e que você tem um crédito pendente para esse aviso de segurança.

    Captura de tela mostrando o botão "Enviar relatório"

    Dica: quando o relatório é enviado, o GitHub adiciona automaticamente o relator da vulnerabilidade como colaborador e como um usuário creditado no aviso proposto.

  5. Opcionalmente, clique em Iniciar um fork privado temporário se quiser começar a corrigir o problema. Observe que somente o mantenedor do repositório pode mesclar esse fork privado.

    Captura de tela mostrando o botão "Iniciar um fork temporário"

As próximas etapas dependem da ação executada pelo mantenedor do repositório. Para obter mais informações, confira "Como gerenciar vulnerabilidades de segurança relatadas de modo privado".