Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Publicar uma consultoria de segurança

Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto.

Neste artigo

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.

Qualquer pessoa com permissão de administrador para um consultor de segurança pode publicar a consultoria de segurança.

Pré-requisitos

Antes de publicar uma consultoria de segurança ou solicitar um número de identificação CVE, você deve criar um rascunho da consultoria de segurança e fornecer informações sobre as versões do seu projeto afetadas pela vulnerabilidade de segurança. Para obter mais informações, consulte "Criar uma consultoria de segurança".

Se você criou uma consultoria de segurança, mas ainda não forneceu as informações sobre as versões do seu projeto que a vulnerabilidade de segurança afeta, você pode editar a consultoria de segurança. Para obter mais informações, consulte "Editar um consultor de segurança".

Sobre a publicação de uma consultoria de segurança

Ao publicar uma consultoria de segurança, você notifica a sua comunidade sobre a vulnerabilidade de segurança que a consultoria de segurança aborda. A publicação de uma consultoria de segurança torna mais fácil para a sua comunidade atualizar as dependências do pacote e pesquisar o impacto da vulnerabilidade de segurança.

Você também pode usar Consultoria de segurança GitHub para republicar as informações de uma vulnerabilidade de segurança que você já revelou em outro lugar, copiando e colando as informações de vulnerabilidade em uma nova consultoria de segurança.

Antes de publicar uma consultoria de segurança, você pode colaborar de forma privada para consertar a vulnerabilidade em uma bifurcação privada temporária. Para obter mais informações, consulte "Colaborar em uma bifurcação privada temporária para resolver uma vulnerabilidade de segurança".

Ao publicar um rascunho de consultoria a partir de um repositório público, todos poderão ver:

  • A versão atual dos dados da consultoria.
  • Todos os créditos da consultoria que os usuários creditados aceitaram.

Observação: O público em geral nunca terá acesso ao histórico de edição da consultoria e só verá a versão publicada.

Depois de publicar uma consultoria de segurança, sua URL permanecerá a mesma de antes da publicação da consultoria de segurança. Qualquer pessoa com acesso de leitura ao repositório pode ver a consultoria de segurança. Os colaboradores na consultoria de segurança podem continuar a visualizar conversas anteriores, incluindo o fluxo de comentários completo na consultoria de segurança, a menos que alguém com permissões de administração remova o colaborador da consultoria de segurança.

Se você precisar atualizar ou corrigir informações em uma consultoria de segurança que publicou, poderá editar a consultoria de segurança. Para obter mais informações, consulte "Editar um consultor de segurança".

Solicitar um número de identificação CVE

Qualquer pessoa com permissão de administrador a uma consultora de segurança pode solicitar um número de identificação CVE para a consultoria de segurança.

Se você ainda não tem um número de identificação CVE para a vulnerabilidade de segurança no seu projeto, você pode solicitar um número de identificação CVE a partir de GitHub. GitHub geralmente revisa o pedido em 72 horas. Solicitar um número de identificação CVE não torna público a sua consultoria de segurança público. Se a sua consultoria de segurança for elegível para um CVE, GitHub reservará um número de identificação CVE para sua consultoria. Posteriormente, publicaremos os dados do CVE após publicar a consultoria de segurança. Para obter mais informações, consulte "Sobre o Consultoria de segurança GitHub.

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança.
    Guia de segurança
  3. Na barra lateral esquerda, clique em Consultoria de segurança.
    Aba de consultoria de segurança
  4. Na lista "consultoria de segurança", clique na consultoria de segurança para o qual deseja solicitar um número de identificação CVE.
    Consultoria de segurança na lista
  5. Use o menu suspenso Publicar consultoria e clique em Solicitar CVE.
    Solicitar CVE no menu suspenso
  6. Clique Solicitar CVE.
    Botão "Solicitar CVE"

Publicar uma consultoria de segurança

A publicação de uma consultor de segurança elimina a bifurcação privada temporária para a consultoria de segurança.

  1. No GitHub, navegue até a página principal do repositório.
  2. No seu nome de repositório, clique em Segurança.
    Guia de segurança
  3. Na barra lateral esquerda, clique em Consultoria de segurança.
    Aba de consultoria de segurança
  4. Na lista "consultoria de segurança", clique na consultoria de segurança que deseja publicar.
    Consultoria de segurança na lista
  5. Na parte inferior da página, clique em Publicar consultoria.
    Botão Publish advisory (Publicar consultoria)

Alertas GitHub Dependabot para consultoria de segurança publicada

GitHub irá revisar cada consultoria de segurança publicada, adicioná-la ao Banco de Dados Consultivo GitHub, e poderá utilizar a consultoria de segurança para enviar Alertas GitHub Dependabot aos repositórios afetados. Se a consultoria de segurança vier de uma bifurcação, só enviaremos um alerta se a bifurcação possuir um pacote, publicado com um nome único, em um registro de pacote público. Este processo pode levar até 72 horas e GitHub pode entrar em contato com você para obter mais informações.

Para obter mais informações sobre Alertas GitHub Dependabot, consulte "Sobre alertas para dependências vulneráveis". Para obter mais informações sobre Banco de Dados Consultivo GitHub, consulte "Procurar vulnerabilidades de segurança no Banco de Dados Consultivo GitHub.

Leia mais

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Ou, learn how to contribute.