Publicación de un aviso de seguridad de repositorio

Cualquiera con permisos de administrador en una asesoría de seguridad puede publicarla.

Nota: Este artículo se aplica a la edición de avisos de nivel de repositorio como propietario de un repositorio público.

Los usuarios que no sean propietarios de repositorios pueden contribuir a los avisos de seguridad globales en GitHub Advisory Database en github.com/advisories. Las ediciones a las asesorías globales no cambiarán ni afectarán la forma en la que se muestra la asesoría en el repositorio. Para obtener más información, vea «Edición de avisos de seguridad en la base de avisos de GitHub».

Prerrequisitos

Antes de que puedas publicar una asesoría de seguridad o solicitar un número de identificación de CVE, debes crear un borrador de asesoría de seguridad y proporcionar información acerca de las versiones de tu proyecto que se vieron afectadas por la vulnerabilidad de seguridad. Para obtener más información, vea «Creación de un aviso de seguridad de repositorio».

Si creaste una asesoría de seguridad pero no has proporcionado detalles sobre las versiones de tu proyecto que afectó la vulnerabilidad, puedes editarla. Para obtener más información, vea «Edición de un aviso de seguridad de repositorio».

Acerca de publicar una asesoría de seguridad

Cuando publicas una asesoría de seguridad, notificas a tu comunidad acerca de la vulnerabilidad de seguridad que se dirige en dicha asesoría. El publicar una asesoría de seguridad facilita a tu comunidad el actualizar las dependencias de los paquetes y el investigar el impacto de la vulnerabilidad de seguridad.

También puedes utilizar asesorías de seguridad de repositorio para volver a publicar los detalles de una vulnerabilidad de seguridad que ya has divulgado en otro lugar si copias y pegas los detalles de la vulnerabilidad en una asesoría de seguridad nueva.

Antes de que publiques una asesoría de seguridad, puedes hacer una colaboración privada para arreglar la vulnerabilidad en una bifurcación privada. Para obtener más información, vea «Colaboración en una bifurcación privada temporal para resolver una vulnerabilidad de seguridad del repositorio».

Warning

Siempre que sea posible, debes agregar una versión de corrección a un aviso de seguridad antes de publicar el aviso. Si no lo haces, la asesoría se publicará sin una versión corregida y el Dependabot alertará a tus usuarios sobre este problema sin ofrecer una versión segura para actualizarse.

Te recomendamos seguir estos pasos en estas situaciones:

Si una versión corregida está disponible inminentemente y puedes hacerlo, espera para divulgar el problema cuando la corrección ya esté lista.
Si aún se está desarrollando una versión corregida y no se encuentra disponible, menciónalo en la asesoría y edítala después de publicarla.
Si no planeas corregir el problema, aclara esto en la asesoría para que tus usuarios no te contacten para preguntar cuándo crearás la corrección. En este caso, es útil incluir pasos que puedan seguir los usuarios para mitigar el problema.

Cuando publicas un borrador de asesoría desde un repositorio público, todos pueden ver:

La versión actual de los datos de la asesoría.
Cualquier asesoría atribuye que los usuarios acreditados han aceptado.

Note

El público general nunca tendrá acceso al historial de ediciones del aviso, solo verá la versión publicada.

Después de que publicas una asesoría de seguridad, la URL de la misa permanecerá tal como antes de publicarla. Cualquiera con acceso de lectura al repositorio puede verla. Los colaboradores de la asesoría de seguridad pueden seguir viendo las conversaciones pasadas, incluyendo el flujo completo de comentarios, en la asesoría de seguridad a menos de que alguien con permisos administrativos elimine al colaborador de la asesoría de seguridad.

Si necesitas actualizar o corregir información en una asesoría de seguridad que hayas publicado, puedes editarla. Para obtener más información, vea «Edición de un aviso de seguridad de repositorio».

Publicar una asesoría de seguridad

El publicar una asesoría de seguridad borra la bifurcación temporal privada para la misma.

En GitHub, navegue hasta la página principal del repositorio.
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
En la barra lateral izquierda, en "Informes", haz clic en Avisos.
En la lista "Avisos de seguridad", haz clic en el nombre de aquel que quieres publicar.
Desplázate al final del formulario del aviso y haz clic en Publicar aviso.

Note

Si seleccionaste "Request CVE ID later", verás un botón Request CVE en lugar del botón Publish advisory. Para más información, consulta "Solicitud de un número de identificación CVE (opcional)" a continuación.

Dependabot alerts para las asesorías de seguridad publicadas

GitHub revisará cada asesoría de seguridad que se haya publicado, la agregará a la GitHub Advisory Database, y podría utilzar esta asesoría de seguridad para enviar Dependabot alerts a los repositorios que se vean afectados. Si la asesoría de seguridad viene de una bifurcación, únicamente enviaremos una alerta si ésta tiene un paquete que se publique con un nombre único y esté en un registro de paquetes público. Este proceso puede tomar hasta 72 horas y GitHub podría contactarte para obtener más información.

Para más información sobre Dependabot alerts, consulta "Acerca de las alertas Dependabot" y "Sobre las actualizaciones de seguridad de Dependabot". Para más información sobre GitHub Advisory Database, consulta "Exploración de los avisos de seguridad en GitHub Advisory Database".

Solicitar un número de identificación de CVE (Opcional)

Si quieres un número de identificación CVE para la vulnerabilidad de seguridad en tu proyecto y aún no tienes uno, puedes solicitarlo de GitHub. GitHub habitualmente revisa la solicitud dentro de las primeras 72 horas de su recepción. El solicitar un número de identificación de CVE no convierte tu asesoría de seguridad en pública. Si tu asesoría de seguridad es elegible para un CVE, GitHub reservará un número de identificación de CVE para ésta. Entonces publicaremos los detalles de CVE después de que hayas hecho pública tu asesoría de seguridad. Cualquiera con permisos de administrador en una asesoría de seguridad puede solicitar un número de identificación de CVE.

Si ya tienes un CVE que quieres utilizar, por ejemplo, si utilizas una Autoridad de Numeración de CVE (CNA) diferente a la de GitHub, agrega el CVE al formato de asesoría de seguridad. Esto podría pasar, por ejemplo, si quiers que la asesoría sea consistente con otras comnicaciones que planees enviar al momento de la publicación. GitHub no pude asignar un CVE a tu proyecto si se cubre con otro CNA. Para más información, consulta "Acerca de las asesorías de seguridad de repositorio".

En GitHub, navegue hasta la página principal del repositorio.
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
En la barra lateral izquierda, en "Informes", haz clic en Avisos.
En la lista "Avisos de seguridad", haz clic en el nombre de aquel para el que quieres solicitar un número de identificación de CVE.
Desplázate al final del formulario del aviso y haz clic en Solicitar CVE.

Información adicional

"Eliminación de un aviso de seguridad de repositorio"