Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre a consultoria de segurança do GitHub

Você pode usar o Consultoria de segurança GitHub para discutir, corrigir e publicar informações sobre vulnerabilidades de segurança no seu repositório.

Neste artigo

Qualquer pessoa com permissões de administrador em um repositório pode criar uma consultoria de segurança.

Anyone with admin permissions to a repository also has admin permissions to all security advisories in that repository. People with admin permissions to a security advisory can add collaborators, and collaborators have write permissions to the security advisory.

Note: If you are a security researcher, you should directly contact maintainers to ask them to create security advisories or issue CVEs on your behalf in repositories that you don't administer.

Sobre o Consultoria de segurança GitHub

O Consultoria de segurança GitHub permite que os mantenedores de repositório discutam e corrijam uma vulnerabilidade de segurança em um projeto. Após colaborar em uma correção, os mantenedores dos repositórios podem publicar a consultoria de segurança para divulgar publicamente a vulnerabilidade de segurança da comunidade do projeto. Ao publicar a consultoria de segurança, os mantenedores de repositórios facilitam para a sua comunidade a atualização de dependências do pacote e a pesquisa do impacto das vulnerabilidades de segurança.

Com Consultoria de segurança GitHub, você pode:

  1. Criar um projeto de consultoria de segurança e usar o rascunho para discutir em particular o impacto da vulnerabilidade no seu projeto.
  2. Colaborar de modo particular com a correção da vulnerabilidade em uma bifurcação privada temporária.
  3. Publicar a consultoria de segurança para alertar a sua comunidade sobre a vulnerabilidade.

You can also use Consultoria de segurança GitHub to republish the details of a security vulnerability that you have already disclosed elsewhere by copying and pasting the details of the vulnerability into a new security advisory.

To get started, see "Creating a security advisory."

Você pode dar crédito a indivíduos que contribuíram para uma consultora de segurança. Para obter mais informações, consulte "Editar um consultor de segurança".

You can create a security policy to give people instructions for responsibly reporting security vulnerabilities in your project. Para obter mais informações, consulte "Adicionar uma política de segurança ao seu repositório".

You can also join Laboratório de Segurança GitHub to browse security-related topics and contribute to security tools and projects.

Números de identificação CVE

Consultoria de segurança GitHub builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.

When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. If you don't already have a CVE identification number for the security vulnerability in your project, you can request a CVE identification number from GitHub. GitHub usually reviews the request within 72 hours. Requesting a CVE identification number doesn't make your security advisory public. If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you publish the security advisory.

Uma que você publicou a consultoria de segurança e o GitHub atribuiu um número de identificação CVE para a vulnerabilidade, o GitHub irá publicar o CVE no banco de dados do MITRE. Para obter mais informações, consulte "Publicar uma consultoria de segurança".

Alertas GitHub Dependabot para consultoria de segurança publicada

GitHub will review each published security advisory, add it to the Banco de Dados Consultivo GitHub, and may use the security advisory to send Alertas GitHub Dependabot to affected repositories. If the security advisory comes from a fork, we'll only send an alert if the fork owns a package, published under a unique name, on a public package registry. This process can take up to 72 hours and GitHub may contact you for more information.

For more information about Alertas GitHub Dependabot, see "About alerts for vulnerable dependencies." For more information about Banco de Dados Consultivo GitHub, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub."

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato