Editing a repository security advisory

You can edit the metadata and description for a repository security advisory if you need to update details or correct errors.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Nota:

Este artículo se aplica a la edición de avisos de nivel de repositorio como propietario de un repositorio público.

Los usuarios que no sean propietarios de repositorios pueden contribuir a los avisos de seguridad globales en GitHub Advisory Database en github.com/advisories. Las ediciones a las asesorías globales no cambiarán ni afectarán la forma en la que se muestra la asesoría en el repositorio. Para más información, consulta Editing security advisories in the GitHub Advisory Database.

Editing a security advisory

You can also use the REST API to edit repository security advisories. For more information, see Puntos de conexión de API de REST para avisos de seguridad de repositorios.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Security. Si no puedes ver la pestaña "Security", selecciona el menú desplegable y, después, haz clic en Security.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral de la izquierda, en "Reporting", haz clic en Advisories.

  4. In the "Security Advisories" list, click the name of the security advisory you'd like to edit.

  5. In the upper-right corner of the details for the security advisory, click Edit advisory. This will open the security advisory form in edit mode.

  6. Usa el menú desplegable Identificador de CVE para especificar si ya tienes un identificador de CVE o planeas solicitar uno en GitHub más adelante. Si tienes un identificador de CVE existente, selecciona Tengo un identificador de CVE existente para mostrar un campo CVE existente y escribe el identificador de CVE en el campo. Para más información, consulta Acerca de las asesorías de seguridad de repositorio.

  7. En el campo Descripción, escribe una descripción de la vulnerabilidad de seguridad, incluido su impacto, las revisiones o soluciones alternativas disponibles y cualquier referencia existente.

  8. En "Productos afectados", define el ecosistema, el nombre del paquete, las versiones afectadas y revisadas y las funciones vulnerables correspondientes a la vulnerabilidad de seguridad que se describe en este aviso de seguridad. Si corresponde, puedes agregar varios productos afectados al mismo anuncio; para ello, haz clic en Agregar otro producto afectado.

    Para obtener información sobre cómo especificar información en el formulario, incluidas las versiones afectadas, consulta Best practices for writing repository security advisories.

  9. Usa el menú desplegable Gravedad para definir la gravedad de la vulnerabilidad de seguridad. Si quieres calcular una puntuación de CVSS, selecciona Evaluar la gravedad mediante CVSS y, luego, selecciona los valores adecuados en la Calculadora. GitHub calcula la puntuación según la calculadora del Sistema de puntuación de vulnerabilidades comunes.

  10. En "Puntos débiles", en el campo Enumerador de puntos débiles comunes, escribe enumeradores de puntos débiles comunes (CWE) que describan los tipos de puntos débiles relacionados con la seguridad que este aviso de seguridad notifica. Para obtener una lista completa de CWE, consulta la Enumeración de puntos débiles comunes de MITRE.

  11. Optionally, under "Credits", remove existing credits, or use the search box to find additional people you want to credit on the security advisory, then click their username to add them.

    • Use the dropdown menu next to the name of the person you're crediting to assign a credit type. For more information about credit types, see Creating a repository security advisory.

      Screenshot of a draft security advisory. A dropdown menu, labeled "Choose a credit type," is highlighted with an orange outline.

    • Optionally, to remove someone, click the next to the credit type.

  12. Click Update security advisory.

Las personas listadas en la sección de "Créditos" recibirán una notificación web o por correo electrónico que los invita a aceptar el crédito. Si la persona acepta, su nombre de usuario estará visible al público una vez que la asesoría de seguridad se publique.

Further reading