Skip to main content

Editando uma consultoria de segurança do repositório

Você pode editar os metadados e a descrição de uma consultoria de segurança do repositório, se precisar atualizar detalhes ou corrigir erros.

Quem pode usar esse recurso?

Anyone with admin permissions to a repository security advisory, or with a security manager role within the repository, can edit the security advisory.

Nota: Este artigo aplica-se à edição de consultorias em nível de repositório como proprietário de um repositório público.

Os usuários que não são proprietários do repositório podem contribuir com consultorias de segurança global no GitHub Advisory Database em github.com/advisories. As edições nas consultorias globais não mudarão ou afetarão a forma como a consultoria aparece no repositório. Para obter mais informações, confira "Editando consultorias de segurança no banco de dados consultivo do GitHub".

Editar uma consultoria de segurança

Você também pode usar a API REST para editar avisos de segurança do repositório. Para obter mais informações, confira "Pontos de extremidade de API REST para avisos de segurança de repositório".

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral esquerda, em "Relatórios", clique em Avisos.

  4. Na lista "Avisos de Segurança", clique no nome do aviso de segurança que deseja editar.

  5. No canto superior direito dos detalhes do aviso de segurança, clique em Editar aviso. Isso abrirá o formulário de aviso de segurança no modo de edição.

  6. Use o menu suspenso Identificador CVE para especificar se você já tem um identificador CVE ou planeja solicitar um de GitHub posteriormente. Se você tiver um identificador CVE existente, selecione Tenho um identificador CVE existente para exibir um campo CVE Existente e digite o identificador CVE no campo. Para obter mais informações, confira "Sobre os avisos de segurança do repositório".

  7. No campo Descrição, digite uma descrição da vulnerabilidade de segurança, incluindo seu impacto, quaisquer patches ou soluções alternativas disponíveis e quaisquer referências.

  8. Em "Produtos afetados", defina o ecossistema, o nome do pacote, as versões afetadas/corrigidas e as funções vulneráveis para a vulnerabilidade de segurança que este aviso de segurança descreve. Se aplicável, você pode adicionar vários produtos afetados ao mesmo aviso clicando em Adicionar outro produto afetado.

    Para obter informações sobre como especificar informações sobre o formulário, incluindo as versões afetadas, confira "Melhores práticas para escrever avisos de segurança do repositório".

  9. Defina a gravidade da vulnerabilidade de segurança usando o menu suspenso Severidade. Se você quiser calcular uma pontuação CVSS, selecione Avaliar gravidade usando CVSS e selecione os valores apropriados na Calculadora. O GitHub calcula a pontuação de acordo com a Calculadora do Sistema de Pontuação de Vulnerabilidade Comum.

  10. Em "Pontos Fracos", no campo Enumerador de fraqueza comum, digite CWEs (enumeradores de fraqueza comuns) que descrevem os tipos de pontos fracos de segurança que essa consultoria de segurança relata. Para ver uma lista completa de CWEs, confira a "Common Weakness Enumeration" do MITRE.

  11. Opcionalmente, em "Créditos", remova os créditos existentes ou use a caixa de pesquisa para encontrar outras pessoas que você deseja creditar no aviso de segurança e clique no nome de usuário delas para adicioná-las.

    • Use o menu suspenso ao lado do nome da pessoa que você está creditando para atribuir um tipo de crédito. Para obter mais informações sobre os tipos de crédito, confira "Criando uma consultoria de segurança do repositório".

      Captura de tela de um rascunho de aviso de segurança. Um menu suspenso, rotulado "Escolha um tipo de crédito", é realçado com um contorno laranja.

    • Opcionalmente, para remover alguém, clique no ao lado do tipo de crédito.

  12. Clique em Atualizar consultoria de segurança.

As pessoas listadas na seção "Créditos" receberão um e-mail ou uma notificação da web convidando-os a aceitar o crédito. Se uma pessoa aceitar, seu nome de usuário ficará visível publicamente assim que a consultoria de segurança for publicada.

Leitura adicional