Cualquier usuario con permisos de administrador puede crear un aviso de seguridad.
Cualquiera con permisos de administrador en un repositorio tendrá también permisos de administrador en todas las asesorías de seguridad del mismo. Las personas con permisos de administrador en una asesoría de seguridad pueden agregar colaboradores, y estos tendrán permisos de escritura en dicha asesoría.
Nota: Si eres un investigador de seguridad, debes contactar directamente a los mantenedores para pedirles que creen asesorías de seguridad o que emitan CVEs en tu nombre en los repositorios que no administras.
About GitHub Security Advisories
Vulnerability disclosure is an area where collaboration between vulnerability reporters, such as security researchers, and project maintainers is very important. Both parties need to work together from the moment a potentially harmful security vulnerability is found, right until a vulnerability is disclosed to the world, ideally with a patch available. Typically, when someone lets a maintainer know privately about a security vulnerability, the maintainer develops a fix, validates it, and notifies the users of the project or package. For more information, see "About coordinated disclosure of security vulnerabilities."
GitHub Security Advisories allow repository maintainers to privately discuss and fix a security vulnerability in a project. After collaborating on a fix, repository maintainers can publish the security advisory to publicly disclose the security vulnerability to the project's community. By publishing security advisories, repository maintainers make it easier for their community to update package dependencies and research the impact of the security vulnerabilities.
With GitHub Security Advisories, you can:
- Create a draft security advisory, and use the draft to privately discuss the impact of the vulnerability on your project. For more information, see "Creating a security advisory."
- Privately collaborate to fix the vulnerability in a temporary private fork.
- Publish the security advisory to alert your community of the vulnerability once a patch is released. For more information, see "Publishing a security advisory."
También puedes utilizar GitHub Security Advisories para volver a publicar los detalles de una vulnerabilidad de seguridad que ya has divulgado en otro lugar si copias y pegas los detalles de la vulnerabilidad en una asesoría de seguridad nueva.
You can give credit to individuals who contributed to a security advisory. For more information, see "Editing a security advisory."
Puedes crear una política de seguridad para dar instrucciones a las personas para reportar las vulnerabilidades de seguridad de manera responsable en tu proyecto. Para obtener más información, consulta "Aumentar la seguridad para tu repositorio".
If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.
También puedes unirte a GitHub Security Lab para buscar temas relacionados con seguridad y contribuir con las herramientas y proyectos de seguridad.
CVE identification numbers
GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. The security advisory form on GitHub is a standardized form that matches the CVE description format.
GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.
When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. Si aún no tienes un número de identificación CVE para la vulnerabilidad de seguridad en tu proyecto, puedes solicitar un número de identificación de CVE de GitHub. GitHub habitualmente revisa la solicitud dentro de las primeras 72 horas de su recepción. El solicitar un número de identificación de CVE no convierte tu asesoría de seguridad en pública. Si tu asesoría de seguridad es elegible para un CVE, GitHub rservará un número de identificación de CVE para ésta. Después publicaremos los detalles del CVE después de que publiques la asesoría de seguridad.
Once you've published the security advisory and GitHub has assigned a CVE identification number to the vulnerability, GitHub publishes the CVE to the MITRE database. For more information, see "Publishing a security advisory."
Alertas del Dependabot de GitHub for published security advisories
GitHub revisará cada asesoría de seguridad que se haya publicado, la agregará a la GitHub Advisory Database, y podría utilzar esta asesoría de seguridad para enviar Alertas del Dependabot de GitHub a los repositorios que se vean afectados. Si la asesoría de seguridad viene de una bifurcación, únicamente enviaremos una alerta si ésta tiene un paquete que se publique con un nombre único y esté en un registro de paquetes público. Este proceso puede tomar hasta 72 horas y GitHub podría contactarte para obtener más información.
Para obtener más informació acera de las Alertas del Dependabot de GitHub, consulta la sección "Acerca de las alertas para las dependencias vulnerables". Para obtener más información acerca de la GitHub Advisory Database, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database".