Publicando uma consultoria de segurança do repositório

Você pode publicar uma consultoria de segurança para alertar a sua comunidade sobre uma vulnerabilidade de segurança no seu projeto.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Observação

Este artigo se aplica a avisos de segurança no nível do repositório em um repositório público. Para editar um aviso global no GitHub Advisory Database, consulte Editando consultorias de segurança no banco de dados consultivo do GitHub.

> [!NOTE]

Este artigo se aplica a avisos de segurança no nível do repositório em um repositório público. Para editar um aviso global no GitHub Advisory Database, consulte Editando consultorias de segurança no banco de dados consultivo do GitHub.

Pré-requisitos Antes de publicar uma consultoria de segurança ou solicitar um número de identificação CVE, você deve criar um rascunho da consultoria de segurança e fornecer informações sobre as versões do seu projeto afetadas pela vulnerabilidade de segurança.

Confira Criando uma consultoria de segurança do repositório e Editando uma consultoria de segurança do repositório.

Aviso

Publicar uma consultoria de segurança Sempre que possível, você deve adicionar uma versão de correção a um aviso de segurança antes de publicar o aviso.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique na Security and quality guia. Se você não conseguir ver a guia " Security and quality", selecione o menu suspenso e clique em Security and quality.

  3. Na barra lateral esquerda, em "Reporting", clique em Advisories.

  4. Se você não fizer isso, o aviso será publicado sem uma versão fixa e Dependabot alertará seus usuários sobre o problema sem oferecer nenhuma versão segura para a qual atualizar.

    1. Em GitHub, acesse a página principal do repositório.

  6. No nome do repositório, clique na Security and quality guia. Se você não conseguir ver a guia " Security and quality", selecione o menu suspenso e clique em Security and quality.

  7. Na barra lateral esquerda, em "Reporting", clique em Advisories.

    • Na lista "Avisos de Segurança", clique no nome do aviso de segurança que deseja publicar.

    Role até a parte inferior do formulário de aviso e clique em Publicar aviso. Se você selecionou "Solicitar ID CVE mais tarde", verá o botão Solicitar CVE no lugar do botão Publicar aviso.

Observação

Captura de tela da área "Informações de aviso necessárias foram fornecidas" da página.

O botão "Publicar aviso" está contornado em laranja.

A publicação de uma consultor de segurança elimina a bifurcação privada temporária para a consultoria de segurança.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique na Security and quality guia. Se você não conseguir ver a guia " Security and quality", selecione o menu suspenso e clique em Security and quality.

  3. Na barra lateral esquerda, em "Reporting", clique em Advisories.

  4. Solicitando um número de identificação CVE (Opcional)

  5. Se você ainda não tiver um número de identificação CVE para uma vulnerabilidade de segurança em seu projeto, poderá solicitar um de GitHub.

    ![1. Em GitHub, acesse a página principal do repositório.

  6. No nome do repositório, clique na Security and quality guia. Se você não conseguir ver a guia " Security and quality", selecione o menu suspenso e clique em Security and quality.

  7. Na barra lateral esquerda, em "Reporting", clique em Advisories. Na lista "Avisos de segurança", clique no aviso de segurança para o qual deseja solicitar um número de identificação CVE.](/assets/images/help/security/security-advisory-request-cve-button.png)

Role até a parte inferior do formulário de aviso e clique em Solicitar CVE.

  • Captura de tela da área "Informações de aviso necessárias foram fornecidas" da página.