Adicionar uma política de segurança a um repositório

Você pode dar instruções sobre como relatar uma vulnerabilidade de segurança no seu projeto, adicionando uma política de segurança ao seu repositório.

Neste artigo

Sobre políticas de segurança

Para dar às pessoas instruções para relatar vulnerabilidades de segurança em seu projeto, você pode adicionar um arquivo SECURITY.md à raiz, docs ou pasta .github do repositório. Adicionar esse arquivo a esta(s) parte(s) do repositório cria automaticamente uma linha com uma descrição onde as pessoas podem revisá-lo. Quando uma pessoa cria um problema no seu repositório, ela verá um link para a política de segurança do seu projeto.

Você pode criar uma política de segurança padrão para sua organização ou conta pessoal. Para obter mais informações, confira "Como criar um arquivo padrão de integridade da comunidade".

Dica: para ajudar as pessoas a encontrar sua política de segurança, crie um link para o SECURITY.md arquivo de outros locais no repositório, como o arquivo README. Para obter mais informações, confira "Sobre LEIAMEs".

Ao disponibilizar claramente instruções de relatório de segurança, você torna mais fácil para os usuários relatar quaisquer vulnerabilidades de segurança que encontrem no repositório usando seu canal de comunicação preferido.

Para obter um exemplo de um arquivo SECURITY.md real, consulte https://github.com/electron/electron/blob/main/SECURITY.md.

Adicionar uma política de segurança a um repositório

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral esquerda, em "Relatórios", clique em Política.

  4. Clique em Iniciar instalação.

  5. No novo arquivo SECURITY.md, adicione informações sobre as versões com suporte do seu projeto e como relatar uma vulnerabilidade.

  6. Clique em Fazer commit das alterações...

  7. No campo "Mensagem do commit", digite uma mensagem curta e relevante que descreva a alteração que você fez no arquivo. Você pode atribuir o commit a mais de um autor na mensagem de commit. Para obter mais informações, confira "Criar um commit com vários autores".

  8. Abaixo dos campos de mensagem do commit, opte por adicionar o commit ao branch atual ou a um novo branch. Se seu branch atual for o branch-padrão, você deverá optar por criar um novo branch para seu commit e, em seguida, criar um pull request. Para obter mais informações, confira "Como criar uma solicitação de pull".

    Captura de tela de uma solicitação de pull GitHub mostrando um botão de opção para confirmar diretamente no branch principal ou para criar um branch. O novo branch está selecionado.

  9. Clique em Fazer commit de alterações ou em Propor alterações.

Leitura adicional