Les chercheurs en sécurité ne peuvent pas créer de conseil.
Création d’un avis de sécurité
Vous pouvez également utiliser l’API REST pour créer les avis de sécurité des référentiels. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les avis de sécurité de référentiels ».
-
Cliquez sur Nouveau brouillon d’avis de sécurité pour ouvrir le formulaire de brouillon d’avis. Les champs marqués d’un astérisque sont obligatoires.
-
Dans le champ Titre, tapez un titre pour votre avis de sécurité.
-
Si vous le souhaitez, sous « Crédits », ajoutez des crédits en recherchant un nom d’utilisateur GitHub, l’adresse e-mail associée à son compte GitHub ou son nom complet.
-
Utilisez le menu déroulant en regard du nom de la personne que vous créditez pour attribuer un type de crédit. Pour plus d’informations sur les types de crédit, consultez la section À propos des crédits pour les avis de sécurité de dépôt.
-
Si vous le souhaitez, pour supprimer une personne, cliquez sur à côté du type de crédit.
-
-
Cliquez sur Créer un brouillon d’avis de sécurité.
À propos des crédits pour les avis de sécurité de dépôt
Vous pouvez créditer les personnes qui ont aidé à découvrir, signaler ou corriger une vulnérabilité de sécurité. Si vous créditez une personne, elle peut choisir d’accepter ou de refuser le crédit.
Vous pouvez attribuer différents types de crédit à des personnes.
| Type de crédit | Reason |
|---|---|
| Identificateur | Identifie la vulnérabilité |
| Journaliste | Avertit le fournisseur de la vulnérabilité dans un CNA |
| Analyste | Valide la vulnérabilité pour en garantir l’exactitude ou la gravité |
| Coordinatrice | Facilite le processus de réponse coordonné |
| Développeur de corrections | Prépare un changement du code ou d’autres plans de correction |
| Réviseur de corrections | Révise les plans de correction des vulnérabilités ou les changements de code par souci d’efficacité et d’exhaustivité |
| Vérificateur de corrections | Teste et vérifie la vulnérabilité ou sa correction |
| Tool | Noms des outils utilisés dans la découverte ou l’identification des vulnérabilités |
| Commanditaire | Prend en charge les activités d’identification ou de correction des vulnérabilités |
Si une personne accepte un crédit, son nom d’utilisateur apparaît dans la section « Crédits » de l’avis de sécurité. Toute personne disposant d’un accès en lecture au dépôt peut voir l’avis et les noms des personnes qui ont accepté d’être créditées pour celui-ci.
Remarque
Si vous pensez que vous devez être crédité pour un avis de sécurité, contactez le créateur de l’avis et demandez-lui de modifier l’avis pour inclure votre crédit. Seul le créateur de l’avis peut vous créditer, donc veuillez ne pas contacter le support GitHub au sujet des crédits des avis de sécurité.
Étapes suivantes
- Commentez le brouillon d’avis de sécurité pour discuter de la vulnérabilité avec votre équipe.
- Ajoutez des collaborateurs à l’avis de sécurité. Pour plus d’informations, consultez « Ajout d’un collaborateur à un avis de sécurité de dépôt ».
- Collaborez en privé pour corriger la vulnérabilité dans une duplication (fork) privée temporaire. Pour plus d’informations, consultez « Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt ».
- Ajoutez des personnes à créditer pour leur contribution à l’avis de sécurité. Pour plus d’informations, consultez « Modification d’un avis de sécurité de dépôt ».
- Publiez l’avis de sécurité pour informer votre communauté de la vulnérabilité de sécurité. Pour plus d’informations, consultez « Publication d’un avis de sécurité de dépôt ».