Configuración de informes de vulnerabilidades privadas para un repositorio

La habilitación de informes de vulnerabilidades privadas proporciona a los investigadores de seguridad una manera segura y estructurada de revelar vulnerabilidades directamente en el repositorio. Una vez habilitado, los investigadores pueden enviar informes sin recurrir a la divulgación pública o a canales informales. Para obtener información sobre los informes de vulnerabilidades privados y cómo encaja en la divulgación coordinada, consulte Acerca de la divulgación coordinada de las vulnerabilidades de seguridad.

Las instrucciones de este artículo hacen referencia a la habilitación a nivel de repositorio. Para obtener información sobre la habilitación de la característica a nivel de la organización, consulte Acerca de la divulgación coordinada de las vulnerabilidades de seguridad.

Habilitación o deshabilitación de vulnerabilidades privadas para un repositorio

1. En GitHub, navegue hasta la página principal del repositorio.

2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

   

3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

4. En "Advanced Security", a la derecha de "Informes de vulnerabilidades privados", haga clic en Habilitar o Deshabilitar para habilitar o deshabilitar la característica, respectivamente.

          ![Captura de pantalla de la página "Seguridad y análisis de código", en la que se muestra la opción "Informes de vulnerabilidades privadas". El botón "Habilitar" está resaltado en naranja.](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)
   

Cuando se habilita la notificación de vulnerabilidades privadas, los investigadores de seguridad ven un botón Notificar una vulnerabilidad en la página "Avisos" del repositorio, lo que les permite enviar un informe privado.

Los investigadores de seguridad también pueden usar la API REST para notificar de forma privada las vulnerabilidades de seguridad. Consulta Puntos de conexión de API de REST para avisos de seguridad de repositorios.

Configuración de notificaciones para informes de vulnerabilidades privados

Cuando se notifica de forma privada una nueva vulnerabilidad en un repositorio, GitHub notifica a los mantenedores de repositorios y administradores de seguridad si:

• Están monitorizando toda la actividad en el repositorio.
• Tienen notificaciones habilitadas para el repositorio.

Las notificaciones dependen de las preferencias de notificación del usuario. Recibirás una notificación por correo electrónico si:

• Estás viendo el repositorio.
• Ha habilitado las notificaciones para "Toda la actividad".
• En la configuración de notificaciones, en "Suscripciones" y en "Ver", has seleccionado recibir notificaciones por correo electrónico.

1. En GitHub, navegue hasta la página principal del repositorio.

2. Para empezar a ver el repositorio, selecciona Ver.

   

3. En el menú desplegable, haz clic en Toda la actividad.

4. Ve a la configuración de notificación de tu cuenta personal. Está disponible en https://github.com/settings/notifications.

5. En la página de configuración de notificaciones, en "Suscripciones" y, luego, en "Ver", selecciona el menú desplegable Notificarme.

6. Selecciona "Correo electrónico" como opción de notificación y, a continuación, haz clic en Guardar.

   

Para obtener más información sobre la configuración de preferencias de notificación, consulta Administración de la configuración de seguridad y análisis para el repositorio y Configurar los ajustes de observación para un repositorio individual.