Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Publicar uma consultoria de segurança

Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto.

Neste artigo

Qualquer pessoa com permissão de administrador para um consultor de segurança pode publicar a consultoria de segurança.

Pré-requisitos

Before you can publish a security advisory or request a CVE identification number, you must create a draft security advisory and provide information about the versions of your project affected by the security vulnerability. For more information, see "Creating a security advisory."

Se você criou uma consultoria de segurança, mas ainda não forneceu as informações sobre as versões do seu projeto que a vulnerabilidade de segurança afeta, você pode editar a consultoria de segurança. Para obter mais informações, consulte "Editar um consultor de segurança".

Sobre a publicação de uma consultoria de segurança

When you publish a security advisory, you notify your community about the security vulnerability that the security advisory addresses. Publishing a security advisory makes it easier for your community to update package dependencies and research the impact of the security vulnerability.

You can also use Consultoria de segurança GitHub to republish the details of a security vulnerability that you have already disclosed elsewhere by copying and pasting the details of the vulnerability into a new security advisory.

Before you publish a security advisory, you can privately collaborate to fix the vulnerability in a temporary private fork. Para obter mais informações, consulte "Colaborar em uma bifurcação privada temporária para resolver uma vulnerabilidade de segurança".

Depois de publicar uma consultoria de segurança, sua URL permanecerá a mesma de antes da publicação da consultoria de segurança. Qualquer pessoa com acesso de leitura ao repositório pode ver a consultoria de segurança. Os colaboradores da consultoria de segurança podem continuar a visualizar conversas anteriores na consultoria de segurança, a menos que alguém com permissão de administrador remova o colaborador da consultoria de segurança.

Se você precisar atualizar ou corrigir informações em uma consultoria de segurança que publicou, poderá editar a consultoria de segurança. Para obter mais informações, consulte "Editar uma consultoria de segurança".

Solicitar um número de identificação CVE

Anyone with admin permissions to a security advisory can request a CVE identification number for the security advisory.

If you don't already have a CVE identification number for the security vulnerability in your project, you can request a CVE identification number from GitHub. GitHub usually reviews the request within 72 hours. Requesting a CVE identification number doesn't make your security advisory public. If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you publish the security advisory. For more information, see "About Consultoria de segurança GitHub."

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the left sidebar, click Security advisories.
    Security advisories tab
  4. Na lista "consultoria de segurança", clique na consultoria de segurança para o qual deseja solicitar um número de identificação CVE.
    Consultoria de segurança na lista
  5. Use o menu suspenso Publicar consultoria e clique em Solicitar CVE.
    Solicitar CVE no menu suspenso
  6. Clique Solicitar CVE.
    Botão "Solicitar CVE"

Publicar uma consultoria de segurança

Publishing a security advisory deletes the temporary private fork for the security advisory.

  1. No GitHub, navegue até a página principal do repositório.
  2. Under your repository name, click Security.
    Guia de segurança
  3. In the left sidebar, click Security advisories.
    Security advisories tab
  4. Na lista "consultoria de segurança", clique na consultoria de segurança que deseja publicar.
    Consultoria de segurança na lista
  5. Na parte inferior da página, clique em Publicar consultoria.
    Botão Publish advisory (Publicar consultoria)

Alertas GitHub Dependabot para consultorias de segurança publicadas

GitHub will review each published security advisory, add it to the Banco de Dados Consultivo GitHub, and may use the security advisory to send Alertas GitHub Dependabot to affected repositories. If the security advisory comes from a fork, we'll only send an alert if the fork owns a package, published under a unique name, on a public package registry. This process can take up to 72 hours and GitHub may contact you for more information.

For more information about Alertas GitHub Dependabot, see "About alerts for vulnerable dependencies." For more information about Banco de Dados Consultivo GitHub, see "Browsing security vulnerabilities in the Banco de Dados Consultivo GitHub."

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato