Publication d’un avis de sécurité de dépôt

Vous pouvez publier un avis de sécurité pour alerter votre communauté sur une vulnérabilité de sécurité dans votre projet.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

éléments réutilisables.security-advisory.repository-level-advisory-note %}

Prerequisites

Avant de pouvoir publier un avis de sécurité ou demander un numéro d’identification CVE, vous devez créer un brouillon d’avis de sécurité et fournir des informations sur les versions de votre projet affectées par la vulnérabilité de sécurité. Consultez Création d’un avis de sécurité de dépôt et Modification d’un avis de sécurité de dépôt.

Publication d’un avis de sécurité

Avertissement

Dans la mesure du possible, vous devez ajouter une version de correctif à un avis de sécurité avant de publier l’avis. Si ce n’est pas le cas, l’avis sera publié sans version fixe, et Dependabot avertira vos utilisateurs du problème sans offrir de version sécurisée à mettre à jour.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du référentiel, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.

  4. Dans la liste « Avis de sécurité », cliquez sur le nom de l’avis de sécurité que vous souhaitez publier.

  5. Faites défiler jusqu’au bas du formulaire d’avis, puis cliquez sur Publier un avis.

    • Si vous avez sélectionné « Demander l’ID CVE ultérieurement », vous verrez un bouton Demander un CVE à la place du bouton Publier l’avis.

    Capture d’écran de la zone « Les informations requises ont été fournies » de la page. Le bouton « Publier l’avis » est en orange.

Remarque

La publication d’un avis de sécurité supprime la duplication privée temporaire pour l’avis de sécurité.

Demande d’un numéro d’identification CVE (facultatif)

Si vous n’avez pas encore de numéro d’identification CVE pour une vulnérabilité de sécurité dans votre projet, vous pouvez en demander un à partir de GitHub.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du référentiel, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.

  4. Dans la liste « Avis de sécurité », cliquez sur le nom de l’avis de sécurité pour lequel vous souhaitez demander un numéro d’identification CVE.

  5. Faites défiler jusqu’au bas du formulaire d’avis, puis cliquez sur Demander un CVE.

    Capture d’écran de la zone « Les informations requises ont été fournies » de la page. Le bouton « Demander un CVE » est indiqué en orange foncé.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/deleting-a-repository-security-advisory)