Nota: Este artículo se aplica a la edición de avisos de nivel de repositorio como propietario de un repositorio público.
Los usuarios que no sean propietarios de repositorios pueden contribuir a los avisos de seguridad globales en GitHub Advisory Database en github.com/advisories. Las ediciones a las asesorías globales no cambiarán ni afectarán la forma en la que se muestra la asesoría en el repositorio. Para obtener más información, vea «Edición de avisos de seguridad en la base de avisos de GitHub».
Editar una asesoría de seguridad
También puedes usar la API REST para editar avisos de seguridad del repositorio. Para obtener más información, consulta "Puntos de conexión de API de REST para avisos de seguridad de repositorios".
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral izquierda, en "Informes", haz clic en Avisos.
-
En la lista "Asesorías de seguridad", haz clic en el nombre de la que quieras editar.
-
En la esquina superior derecha de los detalles para la asesoría de seguridad, haz clic en Editar asesoría. Se abrirá el formulario de asesoría de seguridad en modo de edición.
-
Usa el menú desplegable Identificador de CVE para especificar si ya tienes un identificador de CVE o planeas solicitar uno en GitHub más adelante. Si tienes un identificador de CVE existente, selecciona Tengo un identificador de CVE existente para mostrar un campo CVE existente y escribe el identificador de CVE en el campo. Para obtener más información, vea «Acerca de las asesorías de seguridad de repositorio».
-
En el campo Descripción, escribe una descripción de la vulnerabilidad de seguridad, incluido su impacto, las revisiones o soluciones alternativas disponibles y cualquier referencia existente.
-
En "Productos afectados", define el ecosistema, el nombre del paquete, las versiones afectadas y revisadas y las funciones vulnerables correspondientes a la vulnerabilidad de seguridad que se describe en este aviso de seguridad. Si corresponde, puedes agregar varios productos afectados al mismo anuncio; para ello, haz clic en Agregar otro producto afectado.
Para información sobre cómo especificar información en el formulario, incluidas las versiones afectadas, consulta "Procedimientos recomendados para escribir asesorías de seguridad del repositorio".
-
Usa el menú desplegable Gravedad para definir la gravedad de la vulnerabilidad de seguridad. Si quieres calcular una puntuación de CVSS, selecciona Evaluar la gravedad mediante CVSS y, luego, selecciona los valores adecuados en la Calculadora. GitHub calcula la puntuación según la calculadora del Sistema de puntuación de vulnerabilidades comunes.
-
En "Puntos débiles", en el campo Enumerador de puntos débiles comunes, escribe enumeradores de puntos débiles comunes (CWE) que describan los tipos de puntos débiles relacionados con la seguridad que este aviso de seguridad notifica. Para obtener una lista completa de CWE, vea la "Enumeración de puntos débiles comunes" de MITRE.
-
Opcionalmente, en "Créditos", quita los créditos existentes, o bien usa el cuadro de búsqueda para buscar personas adicionales a las que quieras acreditar en la asesoría de seguridad y, después, haz clic en su nombre de usuario para agregarlos.
-
Usa el menú desplegable situado junto al nombre de la persona a la que se le va a asignar un tipo de crédito. Para más información sobre los tipos de crédito, consulta "Creación de un aviso de seguridad de repositorio".
-
Opcionalmente, para quitar a alguien, haz clic en junto al tipo de crédito.
-
-
Haga clic en Actualizar aviso de seguridad.
Las personas listadas en la sección de "Créditos" recibirán una notificación web o por correo electrónico que los invita a aceptar el crédito. Si la persona acepta, su nombre de usuario estará visible al público una vez que la asesoría de seguridad se publique.