Skip to main content

Création d’un avis de sécurité de dépôt

Vous pouvez créer un brouillon d’avis de sécurité pour discuter en privé et corriger une vulnérabilité de sécurité dans votre projet open source.

Qui peut utiliser cette fonctionnalité ?

Anyone with admin permissions to a public repository, or with a security manager role within the repository, can create a security advisory.

Remarque : Si vous êtes chercheur en sécurité, vous devez contacter directement les mainteneurs pour leur demander de créer des avis de sécurité ou d’émettre des CVE en votre nom dans les dépôts que vous n’administrez pas. Toutefois, si les rapports de vulnérabilités privés sont activés pour le dépôt, vous pouvez signaler vous-même une vulnérabilité en privé. Pour plus d’informations, consultez « Signalement privé d’une vulnérabilité de sécurité ».

Création d’un avis de sécurité

Vous pouvez également utiliser l’API REST pour créer les avis de sécurité des référentiels. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les avis de sécurité de référentiels ».

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.

  4. Cliquez sur Nouveau brouillon d’avis de sécurité pour ouvrir le formulaire de brouillon d’avis. Les champs marqués d’un astérisque sont obligatoires.

  5. Dans le champ Titre, tapez un titre pour votre avis de sécurité.

  6. Utilisez le menu déroulant Identificateur CVE pour spécifier si vous disposez déjà d’un identificateur CVE ou si vous prévoyez d’en demander un à GitHub ultérieurement. Si vous disposez d’un identificateur CVE existant, sélectionnez J’ai un identificateur CVE existant pour afficher un champ CVE existant, puis tapez l’identificateur CVE dans le champ. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels ».

  7. Dans le champ Description, tapez une description de la vulnérabilité de sécurité, y compris son impact, tous les correctifs ou solutions de contournement disponibles et toutes les références.

  8. Sous « Produits affectés », définissez l’écosystème, le nom du package, les versions affectées/corrigées et les fonctions vulnérables pour la vulnérabilité de sécurité décrite dans cet avis de sécurité. Le cas échéant, vous pouvez ajouter plusieurs produits affectés au même avis en cliquant sur Ajouter un autre produit affecté.

    Pour plus d’informations sur la façon de spécifier des informations sur le formulaire, y compris les versions affectées, consultez « Meilleures pratiques pour l’écriture des avis de sécurité de référentiels ».

  9. Définissez la gravité de la vulnérabilité de sécurité à l’aide du menu déroulant Gravité. Si vous souhaitez calculer un score CVSS, sélectionnez Évaluer la gravité à l’aide de CVSS, puis sélectionnez les valeurs appropriées dans le calculateur. GitHub calcule le score à l’aide du calculateur CVSS (Common Vulnerability Scoring System).

  10. Sous « Faiblesses », dans le champ Énumérateur de faiblesse commun, tapez les énumérateurs de faiblesse communs (SCF) qui décrivent les types de faiblesses de sécurité signalés par cet avis de sécurité. Pour obtenir la liste complète des énumérateurs de failles courantes, consultez la section « Common Weakness Enumeration » de MITRE.

  11. Si vous le souhaitez, sous « Crédits », ajoutez des crédits en recherchant un nom d’utilisateur GitHub, l’adresse e-mail associée à son compte GitHub ou son nom complet.

    • Utilisez le menu déroulant en regard du nom de la personne que vous créditez pour attribuer un type de crédit. Pour plus d’informations sur les types de crédit, consultez la section À propos des crédits pour les avis de sécurité de dépôt.

      Capture d’écran d’un brouillon d’avis de sécurité. Un menu déroulant intitulé « Choisir un type de crédit » est mis en évidence avec un encadré orange.

    • Si vous le souhaitez, pour supprimer une personne, cliquez sur à côté du type de crédit.

  12. Cliquez sur Créer un brouillon d’avis de sécurité.

Les personnes listées dans la section « Crédits » recevront un e-mail ou une notification web les invitant à accepter le crédit. Si une personne accepte, son nom d’utilisateur est visible publiquement une fois que l’avis de sécurité est publié.

À propos des crédits pour les avis de sécurité de dépôt

Vous pouvez créditer les personnes qui ont aidé à découvrir, signaler ou corriger une vulnérabilité de sécurité. Si vous créditez une personne, elle peut choisir d’accepter ou de refuser le crédit.

Vous pouvez attribuer différents types de crédit à des personnes.

Type de créditMotif
IdentificateurIdentifie la vulnérabilité
AvertisseurAvertit le fournisseur de la vulnérabilité dans un CNA
AnalysteValide la vulnérabilité pour en garantir l’exactitude ou la gravité
CoordinatriceFacilite le processus de réponse coordonné
Développeur de correctionsPrépare un changement du code ou d’autres plans de correction
Réviseur de correctionsRévise les plans de correction des vulnérabilités ou les changements de code par souci d’efficacité et d’exhaustivité
Vérificateur de correctionsTeste et vérifie la vulnérabilité ou sa correction
OutilNoms des outils utilisés dans la découverte ou l’identification des vulnérabilités
CommanditairePrend en charge les activités d’identification ou de correction des vulnérabilités

Si une personne accepte un crédit, son nom d’utilisateur apparaît dans la section « Crédits » de l’avis de sécurité. Toute personne disposant d’un accès en lecture au dépôt peut voir l’avis et les noms des personnes qui ont accepté d’être créditées pour celui-ci.

Remarque : Si vous pensez que vous devez être crédité pour un avis de sécurité, contactez le créateur de l’avis et demandez-lui de modifier l’avis pour inclure votre crédit. Seul le créateur de l’avis peut vous créditer, donc veuillez ne pas contacter le support GitHub au sujet des crédits des avis de sécurité.

Étapes suivantes