Skip to main content

Publicando uma consultoria de segurança do repositório

Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto.

Qualquer pessoa com permissão de administrador para um consultor de segurança pode publicar a consultoria de segurança.

Nota: Este artigo aplica-se à edição de consultorias em nível de repositório como proprietário de um repositório público.

Os usuários que não são proprietários do repositório podem contribuir com consultorias de segurança global no GitHub Advisory Database em github.com/advisories. As edições nas consultorias globais não mudarão ou afetarão a forma como a consultoria aparece no repositório. Para obter mais informações, confira "Editando consultorias de segurança no banco de dados consultivo do GitHub".

Pré-requisitos

Antes de publicar uma consultoria de segurança ou solicitar um número de identificação CVE, você deve criar um rascunho da consultoria de segurança e fornecer informações sobre as versões do seu projeto afetadas pela vulnerabilidade de segurança. Para obter mais informações, confira "Criando uma consultoria de segurança do repositório".

Se você criou uma consultoria de segurança, mas ainda não forneceu as informações sobre as versões do seu projeto que a vulnerabilidade de segurança afeta, você pode editar a consultoria de segurança. Para obter mais informações, confira "Editando uma consultoria de segurança do repositório".

Sobre a publicação de uma consultoria de segurança

Ao publicar uma consultoria de segurança, você notifica a sua comunidade sobre a vulnerabilidade de segurança que a consultoria de segurança aborda. A publicação de uma consultoria de segurança torna mais fácil para a sua comunidade atualizar as dependências do pacote e pesquisar o impacto da vulnerabilidade de segurança.

Você também pode usar avisos de segurança do repositório para republicar os detalhes de uma vulnerabilidade de segurança que você já revelou em outro lugar, copiando e colando os detalhes da vulnerabilidade em um novo aviso de segurança.

Antes de publicar uma consultoria de segurança, você pode colaborar de forma privada para consertar a vulnerabilidade em uma bifurcação privada temporária. Para obter mais informações, confira "Colaborando em uma bifurcação privada temporária para resolver uma vulnerabilidade de segurança do repositório".

Aviso: sempre que possível, adicione uma versão de correção a um aviso de segurança antes de publicar o aviso. Se você não fizer isso, a sua consultoria será publicado sem uma versão de correção e Dependabot alertará os seus usuários sobre o problema, sem oferecer qualquer versão segura para a qual atualizar.

Recomendamos que você tome as seguintes medidas nestas situações diferentes:

  • Se uma versão de correção estiver disponível imediatamente, e você puder, espere para divulgar o problema quando a correção estiver pronta.
  • Se uma versão de correção estiver em desenvolvimento mas ainda não disponível, mencione isso no consultor e edite a consultoria mais tarde, após a publicação.
  • Se você não está planejando corrigir o problema, tenha isso claro na consultoria para que os usuários não entrem em contato com você para perguntar quando será feita uma correção. Neste caso, é útil incluir as etapas que os usuários podem seguir para mitigar o problema.

Ao publicar um rascunho de consultoria a partir de um repositório público, todos poderão ver:

  • A versão atual dos dados da consultoria.
  • Todos os créditos da consultoria que os usuários creditados aceitaram.

Observação: o público-alvo em geral nunca terá acesso ao histórico de edição do aviso e verá apenas a versão publicada.

Depois de publicar uma consultoria de segurança, sua URL permanecerá a mesma de antes da publicação da consultoria de segurança. Qualquer pessoa com acesso de leitura ao repositório pode ver a consultoria de segurança. Os colaboradores na consultoria de segurança podem continuar a visualizar conversas anteriores, incluindo o fluxo de comentários completo na consultoria de segurança, a menos que alguém com permissões de administração remova o colaborador da consultoria de segurança.

Se você precisar atualizar ou corrigir informações em uma consultoria de segurança que publicou, poderá editar a consultoria de segurança. Para obter mais informações, confira "Editando uma consultoria de segurança do repositório".

Publicar uma consultoria de segurança

A publicação de uma consultor de segurança elimina a bifurcação privada temporária para a consultoria de segurança.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral esquerda, em "Relatórios", clique em Avisos.

  4. Na lista "Avisos de Segurança", clique no nome do aviso de segurança que deseja publicar.

  5. Role até a parte inferior do formulário de aviso e clique em Publicar aviso.

    Captura de tela da área "Informações de aviso necessárias foram fornecidas" de um rascunho de aviso de segurança. O botão "Publicar aviso" está contornado em laranja escuro.

Observação: se você selecionou "Solicitar ID CVE mais tarde", verá um botão Solicitar CVE no lugar do botão Publicar aviso. Para saber mais, confira "Solicitar um número de identificação CVE (opcional)" abaixo.

Dependabot alerts para consultorias de segurança publicadas

GitHub irá revisar cada consultoria de segurança publicada, adicioná-la ao GitHub Advisory Database, e poderá utilizar a consultoria de segurança para enviar Dependabot alerts aos repositórios afetados. Se a consultoria de segurança vier de uma bifurcação, só enviaremos um alerta se a bifurcação possuir um pacote, publicado com um nome único, em um registro de pacote público. Este processo pode levar até 72 horas e GitHub pode entrar em contato com você para obter mais informações.

Para obter mais informações sobre Dependabot alerts, confira "Sobre alertas do Dependabot" e "Sobre as atualizações de segurança do Dependabot". Para obter mais informações sobre GitHub Advisory Database, confira "Como procurar avisos de segurança no GitHub Advisory Database".

Solicitando um número de identificação CVE (Opcional)

Caso você deseje ter um número de identificação CVE para a vulnerabilidade de segurança no seu projeto e ainda não tiver um, solicite um número de identificação CVE ao GitHub. GitHub geralmente revisa o pedido em 72 horas. Solicitar um número de identificação CVE não torna público a sua consultoria de segurança público. Se o seu aviso de segurança for qualificado para um CVE, o GitHub reservará um número de identificação CVE para ele. Em seguida, publicaremos os detalhes da CVE depois que você tornar o aviso de segurança público. Qualquer pessoa com permissões de administrador em um aviso de segurança pode solicitar um número de identificação CVE.

Se você já tiver uma CVE que deseja usar, por exemplo, se usar uma CNA (Autoridade de Numeração CVE) diferente do GitHub, adicione a CVE ao formulário de aviso de segurança. Isso pode acontecer, por exemplo, se você quiser que a consultoria seja consistente com outras comunicações que pretende enviar no horário da publicação. O GitHub não poderá atribuir CVEs ao seu projeto se ele for coberto por outra CNA. Para saber mais, confira "Sobre os avisos de segurança do repositório".

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral esquerda, em "Relatórios", clique em Avisos.

  4. Na lista "Avisos de segurança", clique no aviso de segurança para o qual deseja solicitar um número de identificação CVE.

  5. Role até a parte inferior do formulário de aviso e clique em Solicitar CVE.

    Captura de tela da área "Informações de aviso necessárias foram fornecidas" de um rascunho de aviso de segurança. O botão "Solicitar CVE" está contornado em laranja escuro.

Leitura adicional