Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre a consultoria de segurança do GitHub

Você pode usar o Consultoria de segurança GitHub para discutir, corrigir e publicar informações sobre vulnerabilidades de segurança no seu repositório.

Neste artigo

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.

Qualquer pessoa com permissões de administrador em um repositório pode criar uma consultoria de segurança.

Qualquer pessoa com permissões de administrador para um repositório também tem permissões de administrador para todas as consultorias de segurança nesse repositório. Pessoas com permissões de administrador para uma consultoria de segurança podem adicionar colaboradores, e os colaboradores têm permissões de gravação para a consultoria de segurança.

Observação: Se você é um pesquisador de segurança, você deve entrar em contato diretamente com os mantenedores para pedir que criem consultorias de segurança ou emitirem CVEs em seu nome em repositórios que você não administra.

Sobre o Consultoria de segurança GitHub

O Consultoria de segurança GitHub permite que os mantenedores de repositório discutam e corrijam uma vulnerabilidade de segurança em um projeto. Após colaborar em uma correção, os mantenedores dos repositórios podem publicar a consultoria de segurança para divulgar publicamente a vulnerabilidade de segurança da comunidade do projeto. Ao publicar a consultoria de segurança, os mantenedores de repositórios facilitam para a sua comunidade a atualização de dependências do pacote e a pesquisa do impacto das vulnerabilidades de segurança.

Com Consultoria de segurança GitHub, você pode:

  1. Criar um projeto de consultoria de segurança e usar o rascunho para discutir em particular o impacto da vulnerabilidade no seu projeto.
  2. Colaborar de modo particular com a correção da vulnerabilidade em uma bifurcação privada temporária.
  3. Publicar a consultoria de segurança para alertar a sua comunidade sobre a vulnerabilidade.

Você também pode usar Consultoria de segurança GitHub para republicar as informações de uma vulnerabilidade de segurança que você já revelou em outro lugar, copiando e colando as informações de vulnerabilidade em uma nova consultoria de segurança.

Para começar, consulte "Criar uma consultoria de segurança".

Você pode dar crédito a indivíduos que contribuíram para uma consultora de segurança. Para obter mais informações, consulte "Editar um consultor de segurança".

Você pode criar uma política de segurança para dar às pessoas instruções para relatar vulnerabilidades de segurança de forma responsável em seu projeto. Para obter mais informações, consulte "Adicionar uma política de segurança ao seu repositório".

Você também pode participar de Laboratório de Segurança GitHub para pesquisar tópicos relacionados a segurança e contribuir com ferramentas e projetos de segurança.

Números de identificação CVE

Consultoria de segurança GitHub baseia-se na base da lista de Vulnerabilidades e Exposições Comuns (CVE). GitHub é uma Autoridade de Numeração CVE (CNA) e está autorizada a atribuir números de identificação CVE. Para obter mais informações, consulte "Sobre CVE" e "Autoridades de Numeração CVE" no site da CVE.

Ao criar uma consultoria de segurança para um repositório público no GitHub, você tem a opção de fornecer um número de identificação CVE existente para a vulnerabilidade de segurança. Se você ainda não tem um número de identificação CVE para a vulnerabilidade de segurança no seu projeto, você pode solicitar um número de identificação CVE a partir de GitHub. GitHub geralmente revisa o pedido em 72 horas. Solicitar um número de identificação CVE não torna público a sua consultoria de segurança público. Se a sua consultoria de segurança for elegível para um CVE, GitHub reservará um número de identificação CVE para sua consultoria. Posteriormente, publicaremos os dados do CVE após publicar a consultoria de segurança.

Uma que você publicou a consultoria de segurança e o GitHub atribuiu um número de identificação CVE para a vulnerabilidade, o GitHub irá publicar o CVE no banco de dados do MITRE. Para obter mais informações, consulte "Publicar uma consultoria de segurança".

Alertas GitHub Dependabot para consultoria de segurança publicada

GitHub irá revisar cada consultoria de segurança publicada, adicioná-la ao Banco de Dados Consultivo GitHub, e poderá utilizar a consultoria de segurança para enviar Alertas GitHub Dependabot aos repositórios afetados. Se a consultoria de segurança vier de uma bifurcação, só enviaremos um alerta se a bifurcação possuir um pacote, publicado com um nome único, em um registro de pacote público. Este processo pode levar até 72 horas e GitHub pode entrar em contato com você para obter mais informações.

Para obter mais informações sobre Alertas GitHub Dependabot, consulte "Sobre alertas para dependências vulneráveis". Para obter mais informações sobre Banco de Dados Consultivo GitHub, consulte "Procurar vulnerabilidades de segurança no Banco de Dados Consultivo GitHub.

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.