Administración de vulnerabilidades de seguridad notificadas de forma privada

Los mantenedores de repositorios pueden administrar las vulnerabilidades de seguridad que les hayan notificado de forma privada los investigadores de seguridad para los repositorios en los que esté habilitado el informe privado de vulnerabilidades.

¿Quién puede utilizar esta característica?

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

En este artículo

Los propietarios y administradores de repositorios públicos pueden habilitar informes de vulnerabilidades privados en sus repositorios. Para obtener más información, vea «Configuración de informes de vulnerabilidades privadas para un repositorio».

Acerca de la creación de informes privados de una vulnerabilidad de seguridad

Los informes de vulnerabilidades privados facilitan a los investigadores de seguridad notificar las vulnerabilidades directamente mediante un formulario sencillo.

Cuando un investigador de seguridad notifica una vulnerabilidad de forma privada, se te notifica y puedes optar por aceptarla, formular más preguntas o rechazarla. Si aceptas el informe, estarás a punto para colaborar en una corrección de la vulnerabilidad en privado con el investigador de seguridad.

Administración de vulnerabilidades de seguridad que se notifican de forma privada

Cuando se notifica de forma privada una nueva vulnerabilidad en un repositorio donde está habilitada la notificación privada de vulnerabilidades, GitHub informa a los mantenedores de repositorios y administradores de seguridad si:

  • Están inspeccionando toda la actividad del repositorio.
  • Tienen notificaciones habilitadas para el repositorio.

Para más información sobre cómo configurar las preferencias de notificación, consulta "Configuración de informes de vulnerabilidades privadas para un repositorio".

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral izquierda, en "Informes", haz clic en Avisos.

  4. Haz clic en el aviso que quieras revisar. Un aviso que se notificó de forma privada tiene un estado de Triage.

    Captura de pantalla de una lista "Avisos de seguridad".

  5. Revise cuidadosamente el informe y elija cómo continuar.

    • Para colaborar en una revisión en privado, haz clic en Iniciar una bifurcación privada temporal para crear un lugar donde seguir hablando con el colaborador. Esto no cambia el estado del aviso propuesto de Triage.

    • Para aceptar la vulnerabilidad notificada, haz clic en Aceptar y abrir como borrador para aceptar el informe de vulnerabilidades como un borrador de aviso sobre GitHub. Si eliges esta opción:

      • El informe no se hará público.
      • El informe se convertirá en un borrador de aviso de seguridad de repositorio y podrás trabajar en él de la misma manera que en cualquier otro borrador de aviso que crees. Para más información sobre los avisos de seguridad, consulta "Acerca de las asesorías de seguridad de repositorio".

    • Para solicitar más información, o para abrir una conversación con el informador, puedes comentar el aviso. Los comentarios solo son visibles para el informante y para cualquier colaborador del aviso.

    • Si tienes suficiente información para determinar que el problema que describe el informador no es un riesgo de seguridad, haz clic en Cerrar aviso de seguridad. Siempre que sea posible, debes agregar un comentario que explique por qué no consideras el informe un riesgo de seguridad antes de cerrar el aviso.

      Captura de pantalla en la que se muestran las opciones disponibles para el mantenedor del repositorio al revisar un informe de vulnerabilidades enviado externamente