Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.
Free, Pro, & Team
Español
Registrarse
 
Code security
Free, Pro, & Team
Español
Registrarse

 

About GitHub Security Advisories for repositories

En este artículo

You can use GitHub Security Advisories to privately discuss, fix, and publish information about security vulnerabilities in your repository.

Cualquier usuario con permisos de administrador puede crear un aviso de seguridad.

Cualquiera con permisos de administrador en un repositorio tendrá también permisos de administrador en todas las asesorías de seguridad del mismo. Las personas con permisos de administrador en una asesoría de seguridad pueden agregar colaboradores, y estos tendrán permisos de escritura en dicha asesoría.

Nota: Si eres un investigador de seguridad, debes contactar directamente a los mantenedores para pedirles que creen asesorías de seguridad o que emitan CVEs en tu nombre en los repositorios que no administras.

About GitHub Security Advisories

La divulgación de vulnerabilidades es un área en donde la colaboración entre los reporteros de vulnerabilidades, tales como los investigadores de seguridad, y los mantenedores de proyectos es muy importante. Ambas partes necesitan trabajar en conjunto desde el momento en el que se encuentra una vulnerabilidad de seguridad potencialmente dañina, justo hasta que la vulnerabilidad se divulgue al público en general, idealmente con la disponibilidad de un parche. Habitualmente, cuando alguien deja saber, en privado, a un mantenedor sobre una vulnerabilidad de seguridad, este desarrolará una corrección, la validará y notificacá a los usuarios sobre el proyecto o paquete. For more information, see "About coordinated disclosure of security vulnerabilities."

Las GitHub Security Advisories permiten a los manenedores de repositorios debatir en privado y corregir vulnerabilidades de seguridad en los proyectos. Después de colaborar en una corrección, los mantenedores del repositorio pueden publicar el aviso de seguridad para revelar públicamente la vulnerabilidad de seguridad a la comunidad del proyecto. Al publicar avisos de seguridad, los mantenedores de repositorios facilitan que su comunidad actualice las dependencias de los paquetes e investigue el impacto de las vulnerabilidades de seguridad.

With GitHub Security Advisories, you can:

  1. Create a draft security advisory, and use the draft to privately discuss the impact of the vulnerability on your project. For more information, see "Creating a repository security advisory."
  2. Privately collaborate to fix the vulnerability in a temporary private fork.
  3. Publish the security advisory to alert your community of the vulnerability once a patch is released. For more information, see "Publishing a repository security advisory."

También puedes utilizar GitHub Security Advisories para volver a publicar los detalles de una vulnerabilidad de seguridad que ya has divulgado en otro lugar si copias y pegas los detalles de la vulnerabilidad en una asesoría de seguridad nueva.

You can give credit to individuals who contributed to a security advisory. For more information, see "Editing a repository security advisory."

Puedes crear una política de seguridad para dar instrucciones a las personas para reportar las vulnerabilidades de seguridad en tu proyecto. Para obtener más información, consulta "Aumentar la seguridad para tu repositorio".

If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. Anyone can submit a change to an advisory published in the GitHub Advisory Database. For more information, see "Editing security advisories in the GitHub Advisory Database."

If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.

También puedes unirte a GitHub Security Lab para buscar temas relacionados con seguridad y contribuir con las herramientas y proyectos de seguridad.

CVE identification numbers

GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. The security advisory form on GitHub is a standardized form that matches the CVE description format.

GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.

When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. Si quieres un número de identificación CVE para la vulnerabilidad de seguridad en tu proyecto y aún no tienes uno, puedes solicitarlo de GitHub. GitHub habitualmente revisa la solicitud dentro de las primeras 72 horas de su recepción. El solicitar un número de identificación de CVE no convierte tu asesoría de seguridad en pública. Si tu asesoría de seguridad es elegible para un CVE, GitHub reservará un número de identificación de CVE para ésta. Entonces publicaremos los detalles de CVE después de que hayas hecho pública tu asesoría de seguridad. Cualquiera con permisos de administrador en una asesoría de seguridad puede solicitar un número de identificación de CVE.

Si ya tienes un CVE que quieres utilizar, por ejemplo, si utilizas una Autoridad de Numeración de CVE (CNA) diferente a la de GitHub, agrega el CVE al formato de asesoría de seguridad. Esto podría pasar, por ejemplo, si quiers que la asesoría sea consistente con otras comnicaciones que planees enviar al momento de la publicación. GitHub no pude asignar un CVE a tu proyecto si se cubre con otro CNA.

Once you've published the security advisory and GitHub has assigned a CVE identification number to the vulnerability, GitHub publishes the CVE to the MITRE database. For more information, see "Publishing a repository security advisory."

Las alertas del dependabot for published security advisories

GitHub revisará cada asesoría de seguridad que se haya publicado, la agregará a la GitHub Advisory Database, y podría utilzar esta asesoría de seguridad para enviar Las alertas del dependabot a los repositorios que se vean afectados. Si la asesoría de seguridad viene de una bifurcación, únicamente enviaremos una alerta si ésta tiene un paquete que se publique con un nombre único y esté en un registro de paquetes público. Este proceso puede tomar hasta 72 horas y GitHub podría contactarte para obtener más información.

Para obtener más información sobre las Las alertas del dependabot, consulta las secciones "Acerca de las alertas para las dependencias vulnerables" y "Acerca de las Actualizaciones de seguridad del dependabot". Para obtener más información acerca de la GitHub Advisory Database, consulta la sección "Buscar vulnerabilidades de seguridad en la GitHub Advisory Database".