Como avaliar as configurações de segurança de um repositório

Os pesquisadores de segurança podem avaliar as configurações de segurança de um repositório público, sugerir uma política de segurança e relatar uma vulnerabilidade.

Quem pode usar esse recurso?

Anyone can view a public repository's security settings, and contact the repository maintainers regarding security issues.

Neste artigo

Sobre a avaliação das configurações de segurança de um repositório

Avaliar as configurações de segurança de um repositório público pode ajudar os pesquisadores de segurança a entender a postura de segurança do repositório. Essas informações podem ajudar você a decidir se deseja interagir com os mantenedores do repositório, por exemplo, relatando uma vulnerabilidade no repositório.

Se um repositório for público, serão disponibilizadas informações de alto nível sobre as configurações de segurança do repositório para qualquer pessoa. Por exemplo, você pode ver se o repositório tem uma política de segurança e se o relatório privado de vulnerabilidades está habilitado. Veja também avisos de segurança publicados e fechados para o repositório. Se nenhuma política de segurança estiver associada a um repositório, você poderá sugerir uma. Se o repositório tiver o relatório privado de vulnerabilidades habilitado, você poderá relatar vulnerabilidades de segurança diretamente aos mantenedores do repositório.

Se você tiver permissões de administrador no repositório e o repositório pertencer a uma organização, veja informações mais detalhadas sobre as configurações de segurança do repositório por meio da visão geral de segurança. Para obter mais informações sobre a visão geral de segurança, confira "Sobre a visão geral de segurança".

Se um repositório for privado, você só poderá ver as configurações de segurança se tiver permissões de administrador no repositório ou receber permissões de segurança especiais que abrangem o repositório, por exemplo, como um gerente de segurança de toda a organização.

Se você quiser avaliar a postura de segurança dos repositórios em escala, use a API para verificar se algumas configurações de segurança estão habilitadas ou não para repositórios, como os relatórios privados de vulnerabilidade. Para obter mais informações, confira "Pontos de extremidade da API REST para repositórios".

Como sugerir uma política de segurança para um repositório

Se você não tiver permissões de administrador nem de segurança em um repositório público, ainda poderá sugerir uma política de segurança para os mantenedores do repositório se ainda não existir uma. Em seguida, os mantenedores do repositório podem optar por aceitar ou rejeitar sua sugestão. Se os mantenedores do repositório aceitarem sua sugestão, a política de segurança será associada ao repositório.

  1. No GitHub.com, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.
  3. Se o repositório tiver uma política de segurança, ela será exibida. Se nenhuma política de segurança estiver associada ao repositório, clique em Sugerir uma política.
  4. Um arquivo SECURITY.md será criado no branch padrão do repositório. O arquivo conterá um modelo para uma política de segurança. Você pode editar o arquivo para adicionar sua política de segurança sugerida.
  5. Quando terminar, clique em Fazer commit das alterações.
  6. Preencha a caixa de diálogo Fazer commit das alterações.
    • Em "Mensagem de commit", insira uma mensagem de commit.
    • Opcionalmente, em "Descrição estendida", descreva as alterações que estão sendo feitas.
    • Selecione "Criar um branch para esse commit e iniciar uma solicitação de pull"
    • Clique em Fazer commit das alterações.
  7. Clique em Criar solicitação de pull.
  8. Opcionalmente, deixe um comentário.
  9. Clique em Criar solicitação de pull.

Como relatar uma vulnerabilidade em um repositório

Se você não tiver permissões de administrador nem de segurança em um repositório público, ainda poderá relatar uma vulnerabilidade de segurança aos mantenedores do repositório se o relatório privado de vulnerabilidades estiver habilitado. Em seguida, os mantenedores do repositório podem optar por aceitar ou rejeitar seu relatório. Se os mantenedores do repositório aceitarem seu relatório, um aviso de segurança será criado para o repositório.

Observação: se o repositório não tiver relatórios de vulnerabilidade privados habilitados, você precisará iniciar o processo de relatório seguindo as instruções na política de segurança do repositório ou criar um problema solicitando aos mantenedores um contato de segurança preferencial. Para obter mais informações, confira "Sobre a divulgação coordenada de vulnerabilidades de segurança".

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Clique em Relatar uma vulnerabilidade para abrir o formulário de aviso.

  4. Preencha o formulário de detalhes do aviso.

    Dica: nesse formulário, somente o título e a descrição são obrigatórios. (No formulário geral de aviso de segurança de rascunho, iniciado pelo mantenedor do repositório, a especificação do ecossistema também é obrigatória). No entanto, recomendamos que os pesquisadores de segurança forneçam o máximo de informações possível no formulário para que os mantenedores possam tomar uma decisão informada sobre o relatório enviado. Você pode adotar o modelo usado por nossos pesquisadores de segurança do GitHub Security Lab, que está disponível no repositório github/securitylab."

    Para obter mais informações sobre os campos disponíveis e as diretrizes sobre como preencher o formulário, confira "Criando uma consultoria de segurança do repositório" e "Melhores práticas para escrever avisos de segurança do repositório".

  5. Na parte inferior do formulário, clique em Enviar relatório. O GitHub exibirá uma mensagem informando que os mantenedores foram notificados e que você tem um crédito pendente para esse aviso de segurança.

    Dica: quando o relatório é enviado, o GitHub adiciona automaticamente o relator da vulnerabilidade como colaborador e como um usuário creditado no aviso proposto.

  6. Opcionalmente, clique em Iniciar um fork privado temporário se quiser começar a corrigir o problema. Observe que somente o mantenedor do repositório pode mesclar as alterações do fork privado com o repositório pai.

    Captura de tela do final de um aviso de segurança. Um botão, rotulado "Iniciar um fork temporário", está contornado em laranja escuro.