Creación de informes privados de una vulnerabilidad de seguridad

Algunos repositorios públicos configuran avisos de seguridad para que cualquier usuario pueda notificar vulnerabilidades de seguridad directamente y de forma privada a los mantenedores.

¿Quién puede utilizar esta característica?

Anyone can privately report a security vulnerability to repository maintainers.

Los propietarios y administradores de repositorios públicos pueden habilitar informes de vulnerabilidades privados en sus repositorios. Para más información, consulta Configuración de informes de vulnerabilidades privadas para un repositorio.

Nota:

  • Si tiene permisos de administrador o seguridad para un repositorio público, no es necesario enviar un informe de vulnerabilidades. En su lugar, cree un borrador de aviso de seguridad directamente. Consulta Creación de un aviso de seguridad de repositorio.
  • Los informes de vulnerabilidades privados son independientes del archivo de SECURITY.md un repositorio. Solo puede notificar vulnerabilidades de forma privada para los repositorios en los que esta característica está habilitada y no es necesario seguir las instrucciones de SECURITY.md.

Si un repositorio público tiene habilitada la notificación de vulnerabilidades privada, cualquier usuario puede enviar un informe de vulnerabilidad privado a los mantenedores del repositorio. Los usuarios también pueden evaluar la seguridad general de un repositorio público y sugerir una directiva de seguridad. Consulta Evaluación de la configuración de seguridad de un repositorio.

Si el repositorio no tiene habilitados los informes de vulnerabilidades privados, debe iniciar el proceso de informes siguiendo las instrucciones de la directiva de seguridad para el repositorio o creando un problema que solicita a los mantenedores un contacto de seguridad preferido. Consulta Acerca de la divulgación coordinada de las vulnerabilidades de seguridad.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Security. Si no puedes ver la pestaña "Security", selecciona el menú desplegable y, después, haz clic en Security.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. Haz clic en Notificar una vulnerabilidad para abrir el formulario de asesoramiento.

  4. Rellena el formulario de detalles de asesoramiento.

    Sugerencia

    En este formato, solo el título y la descripción son obligatorios. (En el formulario de aviso de seguridad general, que inicia el mantenedor del repositorio, también se requiere especificar el ecosistema). Sin embargo, recomendamos que los investigadores de seguridad proporcionen toda la información posible en el formulario para que los mantenedores puedan tomar una decisión informada sobre el informe enviado. Puedes adoptar la plantilla que usan nuestros investigadores de seguridad de GitHub Security Lab, que está disponible en el repositorio github/securitylab.

    Para más información sobre los campos disponibles e instrucciones sobre cómo rellenar el formulario, consulta Creación de un aviso de seguridad de repositorio y Procedimientos recomendados para escribir asesorías de seguridad del repositorio.

  5. En la parte inferior del formulario, haz clic en Enviar informe. GitHub mostrará un mensaje que te indicará que se ha notificado a los mantenedores y que tienes un crédito pendiente para este aviso de seguridad.

    Sugerencia

    Cuando se envía el informe, GitHub agrega automáticamente al informador de la vulnerabilidad como colaborador y como usuario acreditado en el aviso propuesto.

  6. Opcionalmente, haz clic en Iniciar una bifurcación privada temporal si quieres empezar a corregir el problema. Debes tener en cuenta que solo el mantenedor del repositorio puede combinar los cambios de esa bifurcación privada en el repositorio primario.

    Captura de pantalla de la parte inferior de un aviso de seguridad. Un botón, con la etiqueta "Iniciar una bifurcación temporal", está resaltado en naranja oscuro.

Los pasos siguientes dependen de la acción realizada por el mantenedor del repositorio. Consulta Administración de vulnerabilidades de seguridad notificadas de forma privada.