Toute personne disposant d’autorisations d’administrateur pour un avis de sécurité peut publier celui-ci.
Remarque : Cet article s’applique à la modification des avis au niveau du dépôt par un propriétaire dedépôt public.
Les utilisateurs qui ne sont pas propriétaires de dépôt peuvent contribuer aux avis de sécurité généraux dans la GitHub Advisory Database sur github.com/advisories. Les modifications des avis globaux ne changent pas ou n’affectent pas la façon dont l’avis apparaît sur le dépôt. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».
Prérequis
Avant de pouvoir publier un avis de sécurité ou demander un numéro d’identification CVE, vous devez créer un brouillon d’avis de sécurité et fournir des informations sur les versions de votre projet affectées par la vulnérabilité de sécurité. Pour plus d’informations, consultez « Création d’un avis de sécurité de dépôt ».
Si vous avez créé un avis de sécurité mais que vous n’avez pas encore fourni de détails sur les versions de votre projet que la vulnérabilité de sécurité affecte, vous pouvez modifier l’avis de sécurité. Pour plus d’informations, consultez « Modification d’un avis de sécurité de dépôt ».
À propos de la publication d’un avis de sécurité
Quand vous publiez un avis de sécurité, vous informez votre communauté de la vulnérabilité de sécurité qu’il traite. Il est ainsi plus facile pour votre communauté de mettre à jour les dépendances de package et d’étudier l’impact de la vulnérabilité de sécurité.
Vous pouvez également utiliser des avis de sécurité des référentiels pour republier les détails d’une vulnérabilité de sécurité que vous avez déjà divulguée à un autre emplacement en effectuant un copier-coller des détails de la vulnérabilité dans un nouvel avis de sécurité.
Avant de publier un avis de sécurité, vous pouvez collaborer en privé pour corriger la vulnérabilité dans une duplication (fork) privée temporaire. Pour plus d’informations, consultez « Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt ».
Avertissement : Dans la mesure du possible, vous devez toujours ajouter une version de correctif à un avis de sécurité avant de le publier. Si vous ne le faites pas, l’avis est publié sans version corrigée, et Dependabot avertit vos utilisateurs du problème sans offrir de version sécurisée vers laquelle effectuer une mise à jour.
Nous vous recommandons de procéder comme suit suivant la situation :
- Si une version de correctif est immédiatement disponible, dans la mesure du possible, attendez de divulguer le problème quand le correctif est prêt.
- Si une version de correctif est en cours de développement mais qu’elle n’est pas encore disponible, mentionnez-le dans l’avis et modifiez ce dernier ultérieurement, après publication.
- Si vous ne prévoyez pas de résoudre le problème, soyez clair à ce sujet dans l’avis afin que vos utilisateurs ne vous contactent pas pour vous demander quand un correctif sera apporté. Dans ce cas, il est utile d’inclure une procédure que les utilisateurs peuvent suivre pour atténuer le problème.
Quand vous publiez un brouillon d’avis à partir d’un dépôt public, tout le monde peut voir :
- La version actuelle des données de l’avis.
- Les crédits d’avis que les utilisateurs crédités ont acceptés.
Remarque : Le grand public n’a jamais accès à l’historique des modifications de l’avis et ne voit que la version publiée.
Une fois que vous avez publié un avis de sécurité, son URL reste la même. Toute personne disposant d’un accès en lecture au dépôt peut voir l’avis de sécurité. Les collaborateurs à l’avis de sécurité peuvent continuer à voir les conversations passées, notamment le flux de commentaires complet, dans l’avis de sécurité, sauf si une personne disposant d’autorisations d’administrateur supprime le collaborateur de l’avis de sécurité.
Si vous devez mettre à jour ou corriger des informations dans un avis de sécurité que vous avez publié, vous pouvez modifier ce dernier. Pour plus d’informations, consultez « Modification d’un avis de sécurité de dépôt ».
Publication d’un avis de sécurité
La publication d’un avis de sécurité supprime la duplication privée temporaire pour l’avis de sécurité.
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.
-
Dans la liste « Avis de sécurité », cliquez sur le nom de l’avis de sécurité que vous souhaitez publier.
-
Faites défiler jusqu’au bas du formulaire d’avis, puis cliquez sur Publier un avis.
Remarque : Si vous avez sélectionné « Demander l’ID CVE ultérieurement », vous verrez un bouton Demander un CVE à la place du bouton Publier l’avis . Pour plus d’informations, consultez « Demande d’un numéro d’identification CVE (facultatif) » ci-dessous.
Dependabot alerts pour les avis de sécurité publiés
GitHub examinera chaque avis de sécurité publié, l’ajoutera à la GitHub Advisory Database et pourra utiliser l’avis de sécurité pour envoyer des Dependabot alerts aux référentiels concernés. Si l’avis de sécurité provient d’une duplication, nous n’enverrons une alerte que si la duplication possède un package, publié sous un nom unique, sur un registre de packages public. Ce processus peut prendre jusqu’à 72 heures et GitHub peut vous contacter pour vous demander plus d’informations.
Pour plus d’informations sur Dependabot alerts, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ». Pour plus d’informations sur la GitHub Advisory Database, consultez Exploration des avis de sécurité dans la base de données GitHub Advisory.
Demande d’un numéro d’identification CVE (facultatif)
Si vous n’avez pas encore de numéro d’identification CVE pour la faille de sécurité de votre projet et que vous souhaitez en obtenir un, vous pouvez effectuer une demande auprès de GitHub. GitHub examine généralement les demandes dans les 72 heures. Une demande de numéro d’identification CVE ne rend pas votre avis de sécurité public. Si votre avis de sécurité est éligible, GitHub lui réserve un numéro d’identification CVE. Nous publierons ensuite les détails CVE une fois que vous aurez rendu public votre avis de sécurité. Toute personne disposant d’autorisations d’administrateur pour un avis de sécurité peut effectuer une demande de numéro d’identification CVE.
Si vous avez déjà un numéro d’identification CVE que vous souhaitez utiliser, par exemple si vous utilisez une autorité de numérotation CVE (CNA) autre que GitHub, ajoutez-le au formulaire d’avis de sécurité. Cela peut se produire, par exemple, si vous souhaitez que l’avis soit cohérent avec d’autres communications que vous prévoyez d’envoyer au moment de la publication. GitHub ne peut pas attribuer de numéro d’identification CVE à votre projet s’il est couvert par une autre CNA. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels. »
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.
-
Dans la liste « Avis de sécurité », cliquez sur le nom de l’avis de sécurité pour lequel vous souhaitez demander un numéro d’identification CVE.
-
Faites défiler jusqu’au bas du formulaire d’avis, puis cliquez sur Demander un CVE.