Editing a repository security advisory

You can edit the metadata and description for a repository security advisory if you need to update details or correct errors.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Observação

Este artigo se aplica a avisos de segurança no nível do repositório em um repositório público. Para editar um aviso global no GitHub Advisory Database, consulte Editando consultorias de segurança no banco de dados consultivo do GitHub.

Editing a security advisory

You can also use the REST API to edit repository security advisories. For more information, see Endpoints de API REST para avisos de segurança de repositórios.

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique na Security and quality guia. Se você não conseguir ver a guia " Security and quality", selecione o menu suspenso e clique em Security and quality.

  3. Na barra lateral esquerda, em "Reporting", clique em Advisories.

  4. In the "Security Advisories" list, click the name of the security advisory you'd like to edit.

  5. In the upper-right corner of the details for the security advisory, click Edit advisory. This will open the security advisory form in edit mode.

  6. Use o menu suspenso Identificador CVE para especificar se você já tem um identificador CVE ou planeja solicitar um de GitHub posteriormente. Se você tiver um identificador CVE existente, selecione Tenho um identificador CVE existente para exibir um campo CVE Existente e digite o identificador CVE no campo. Para saber mais, confira Avisos de segurança do repositório.

  7. No campo Descrição, digite uma descrição da vulnerabilidade de segurança, incluindo seu impacto, quaisquer patches ou soluções alternativas disponíveis e quaisquer referências.

  8. Em "Produtos afetados", defina o ecossistema, o nome do pacote, as versões afetadas/corrigidas e as funções vulneráveis para a vulnerabilidade de segurança que este aviso de segurança descreve. Se aplicável, você pode adicionar vários produtos afetados ao mesmo aviso clicando em Adicionar outro produto afetado.

    Para obter informações sobre como especificar informações sobre o formulário, incluindo as versões afetadas, confira Práticas recomendadas para gravar avisos de segurança do repositório.

  9. Defina a gravidade da vulnerabilidade de segurança usando o menu suspenso Severidade. Se você quiser calcular uma pontuação CVSS, selecione Avaliar gravidade usando CVSS e selecione os valores apropriados na Calculadora. O GitHub calcula a pontuação de acordo com a Common Vulnerability Scoring System Calculator.

  10. Em "Pontos Fracos", no campo Enumerador de fraqueza comum, digite CWEs (enumeradores de fraqueza comuns) que descrevem os tipos de pontos fracos de segurança que essa consultoria de segurança relata. Para ver uma lista completa de CWEs, confira a Common Weakness Enumeration do MITRE.

  11. Optionally, under "Credits", remove existing credits, or use the search box to find additional people you want to credit on the security advisory, then click their username to add them.

  12. Click Update security advisory.

As pessoas listadas na seção "Créditos" receberão um e-mail ou uma notificação da web convidando-os a aceitar o crédito. Se uma pessoa aceitar, seu nome de usuário ficará visível publicamente assim que a consultoria de segurança for publicada.

Further reading