À propos des avis de sécurité des référentiels
La divulgation des vulnérabilités est un domaine où la collaboration entre les rapporteurs de vulnérabilités, par exemple, les chercheurs en sécurité et les chargés de maintenance de projet, est très importante. Les deux parties doivent travailler ensemble à partir du moment où une vulnérabilité de sécurité potentiellement dangereuse est trouvée et jusqu’à ce qu’elle soit divulguée publiquement, idéalement avec un patch disponible. En règle générale, quand quelqu’un indique en privé une vulnérabilité de sécurité à un chargé de maintenance, ce dernier développe un correctif, le valide et avertit les utilisateurs du projet ou du package. Pour plus d’informations, consultez À propos de la divulgation coordonnée des vulnérabilités de sécurité.
Les avis de sécurité des référentiels permettent aux gestionnaires de dépôts publics de discuter d’une faille de sécurité dans un projet et de la résoudre en privé. Après avoir collaboré sur un correctif, ils peuvent publier l’avis de sécurité pour rendre publique la vulnérabilité de sécurité auprès de la communauté du projet. En publiant des avis de sécurité, les chargés de maintenance des dépôts facilitent la mise à jour des dépendances de package pour leur communauté et la recherche de l’impact des vulnérabilités de sécurité.
Les avis de sécurité des référentiels permettent les actions suivantes :
- Créer un brouillon d’avis de sécurité et l’utiliser pour discuter en privé de l’impact de la vulnérabilité sur votre projet.
- Collaborez en privé pour corriger la vulnérabilité dans une duplication (fork) privée temporaire.
- Publier l’avis de sécurité pour alerter votre communauté de la vulnérabilité une fois qu’un correctif est publié.
Vous pouvez également utiliser l’API REST pour créer, répertorier et mettre à jour les avis de sécurité des référentiels. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les avis de sécurité de référentiels ».
Vous pouvez créditer les personnes qui ont contribué à un avis de sécurité. Pour plus d’informations, consultez « Modification d’un avis de sécurité de dépôt ».
Si vous avez créé un avis de sécurité dans votre dépôt, il est destiné à y demeurer. Nous publions des avis de sécurité pour tous les écosystèmes pris en charge par le graphe de dépendances dans la GitHub Advisory Database sur github.com/advisories. Toute personne peut soumettre une modification d’un avis publié dans la GitHub Advisory Database. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».
Si un avis de sécurité concerne spécifiquement npm, nous le publions également dans les avis de sécurité npm. Pour plus d’informations, consultez npmjs.com/advisories.
Numéros d’identification CVE
Les GitHub Security Advisories s’appuient sur la liste des CVE (Common Vulnerabilities and Exposures). Le formulaire d’avis de sécurité sur GitHub est un formulaire standardisé qui correspond au format de description d’un CVE.
GitHub est une autorité de numérotation CVE (CNA) et est autorisé à affecter des numéros d’identification CVE. Pour plus d’informations, consultez À propos de CVE et Autorités de numérotation CVE sur le site web CVE.
Quand vous créez un avis de sécurité pour un dépôt public sur GitHub, vous avez la possibilité de fournir un numéro d’identification CVE existant pour la vulnérabilité de sécurité.
Une fois que vous avez publié l’avis de sécurité et que GitHub a attribué un numéro d’identification CVE à la vulnérabilité, GitHub publie le CVE dans la base de données MITRE.
Publication des avis de sécurité
La publication d’un avis de sécurité informe votre communauté sur la vulnérabilité qu’elle résout, ce qui facilite la mise à jour des dépendances de paquets et l’étude de l’impact de la vulnérabilité.
Lorsque vous publiez un brouillon d’avis à partir d’un référentiel public, les niveaux de visibilité varient comme suit :
-
**Tout le monde** peut voir la version actuelle des données de conseil, ainsi que les crédits consultatifs que les utilisateurs crédités ont acceptés. -
**Les collaborateurs** peuvent afficher l'historique de la conversation du conseil.
L’URL d’un avis de sécurité ne change pas après la publication.
Si vous devez mettre à jour ou corriger des informations dans un avis de sécurité que vous avez publié, vous pouvez modifier ce dernier. Consultez Modification d’un avis de sécurité de dépôt.
Dependabot alerts pour les avis de sécurité publiés
GitHub examinera chaque avis de sécurité publié, l’ajoutera à la GitHub Advisory Database et pourra utiliser l’avis de sécurité pour envoyer des Dependabot alerts aux référentiels concernés. Si l’avis de sécurité provient d’une duplication, nous n’enverrons une alerte que si la duplication possède un package, publié sous un nom unique, sur un registre de packages public. Ce processus peut prendre jusqu’à 72 heures et GitHub peut vous contacter pour vous demander plus d’informations.
Importance des versions de correctif
Dans la mesure du possible, vous devez ajouter une version de correctif à un avis de sécurité avant de publier l’avis. Si vous ne le faites pas, l’avis est publié sans version corrigée, et Dependabot avertit vos utilisateurs du problème sans offrir de version sécurisée vers laquelle effectuer une mise à jour.
Selon la vulnérabilité, vous devrez peut-être ajuster votre approche. Si une version de correctif est la suivante :
-
**Disponible immédiatement**, vous pouvez attendre pour divulguer le problème lorsqu’une solution est prête. -
**En développement, mais pas encore disponible**, mentionnez-le dans l’avis et modifiez-le plus tard, après publication. -
**Non planifié**, soyez clair sur celui-ci dans l’avis afin que vos utilisateurs ne vous contactent pas pour vous demander quand un correctif sera apporté. Dans ce cas, il est utile d’inclure une procédure que les utilisateurs peuvent suivre pour atténuer le problème.