{"meta":{"title":"Acerca de GitHub Advisory Database","intro":"GitHub Advisory Database contiene una lista de las vulnerabilidades de seguridad y malware que se conocen, agrupados en tres categorías: avisos revisados por GitHub, avisos sin revisar y avisos de malware.","product":"Seguridad y calidad del código","breadcrumbs":[{"href":"/es/code-security","title":"Seguridad y calidad del código"},{"href":"/es/code-security/concepts","title":"Concepts"},{"href":"/es/code-security/concepts/vulnerability-reporting-and-management","title":"Informes de vulnerabilidades"},{"href":"/es/code-security/concepts/vulnerability-reporting-and-management/about-the-github-advisory-database","title":"Base de datos de asesoramiento de GitHub"}],"documentType":"article"},"body":"# Acerca de GitHub Advisory Database\n\nGitHub Advisory Database contiene una lista de las vulnerabilidades de seguridad y malware que se conocen, agrupados en tres categorías: avisos revisados por GitHub, avisos sin revisar y avisos de malware.\n\n## Acerca de GitHub Advisory Database\n\nAgregamos asesorías a la GitHub Advisory Database desde los siguientes orígenes:\n\n* Asesorías de seguridad que se reportan en GitHub\n* La [base de datos de vulnerabilidades nacional](https://nvd.nist.gov/)\n* La [base de datos de advertencias de seguridad de npm](https://github.com/advisories?query=type%3Areviewed+ecosystem%3Anpm)\n* La [base de datos FriendsOfPHP](https://github.com/FriendsOfPHP/security-advisories)\n* La [base de datos Go Vulncheck](https://pkg.go.dev/vuln/)\n* La [base de datos de asesoramiento de empaquetado de Python](https://github.com/pypa/advisory-database)\n* La [base de datos de asesoramiento de Ruby](https://rubysec.com/)\n* La [base de datos de asesoramiento de RustSec](https://rustsec.org/)\n* Aportaciones de la comunidad. Para más información, vea .\n\nSi conoce otra base de datos de la que deberíamos importar avisos, háganoslo saber si abre un problema en .\n\nLos avisos de seguridad se publican como archivos JSON en el formato de vulnerabilidad de código abierto (OSV). Para obtener más información sobre el formato OSV, consulte [Formato de vulnerabilidad de código abierto](https://ossf.github.io/osv-schema/).\n\n## Tipos de avisos de seguridad\n\nCada aviso en GitHub Advisory Database se refiere a una vulnerabilidad en proyectos de código abierto o a software de código abierto malintencionado.\n\nUna vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque. Por lo general, las vulnerabilidades en el código se introducen por accidente y se corrigen poco después de su detección. Debes actualizar el código para usar la versión corregida de la dependencia en cuanto esté disponible.\n\nPor el contrario, el software malintencionado o malware es código diseñado intencionalmente para que lleve a cabo funciones dañinas o no deseadas. El malware puede estar dirigido a hardware, software, datos confidenciales o usuarios de cualquier aplicación que utilice el malware. Debes quitar el malware del proyecto y buscar un reemplazo alternativo más seguro para la dependencia.\n\n### Avisos revisados por GitHub\n\n\\*\\*\nGitHub-revisados\\*\\* los avisos se asignan a los paquetes en ecosistemas que respaldamos. Revisamos cuidadosamente cada aviso de validez y garantizamos que contienen una descripción completa y la información del ecosistema y del paquete.\n\nPor lo general, asignamos a los ecosistemas compatibles un nombre en función del registro de paquetes asociado del lenguaje de programación de software. Revisamos los avisos si corresponden a una vulnerabilidad de un paquete proveniente de un registro compatible.\n\n* Composer (registro: )\n* Erlang (registro: )\n* Go (registro: )\n* Acciones de GitHub ()\n* Maven (registro: )\n* Npm (registro: )\n* NuGet (registro: )\n* Pip (registro: )\n* Pub (registro: )\n* RubyGems (registro: )\n* Rust (registro: )\n* Swift (registro: N/D)\n\nSi tienes alguna sugerencia sobre un ecosistema nuevo para el que deberíamos brindar soporte técnico, abre una [incidencia](https://github.com/github/advisory-database/issues) para analizarla.\n\nSi habilita las Dependabot alerts para repositorios, recibirá una notificación automática cuando una advertencia nueva revisada por GitHub informe de una vulnerabilidad en un paquete del que dependa. Para más información, consulta [Acerca de las alertas Dependabot](/es/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).\n\n### Avisos sin revisar\n\nLos avisos **no revisados** se publican automáticamente en el GitHub Advisory Database, directamente desde el feed de la Base de Datos de Vulnerabilidades Nacional.\n\nEl Dependabot no crea Dependabot alerts para las asesorías sin revisar, ya que este tipo de asesoría no se revisa en su validez o finalización.\n\n### Advertencias de software malicioso\n\n**Los** avisos de malware se relacionan con vulnerabilidades causadas por malware y son exclusivos del ecosistema **de npm** . Los publicamos automáticamente en el GitHub Advisory Database, directamente desde la información proporcionada por el equipo de seguridad de npm.\n\nDependabot no genera alertas cuando se detecta software malicioso, ya que la mayoría de vulnerabilidades no pueden ser resueltas por usuarios de nivel inferior. Puede ver advertencias de software malicioso buscando `type:malware` en los GitHub Advisory Database.\n\nNuestras advertencias de software malicioso son principalmente sobre ataques de sustitución. Durante este tipo de ataque, un atacante publica un paquete en el registro público con el mismo nombre que una dependencia de la que dependen los usuarios de un registro privado o de terceros, con la esperanza de que se consuma la versión maliciosa. Dependabot no examina las configuraciones del proyecto para determinar si los paquetes proceden de un registro privado, por lo que no estamos seguros de si usa la versión maliciosa o una versión no maliciosa. Los usuarios con sus dependencias enfocadas de manera adecuada no deben verse afectados por el software malicioso.\n\n## Información en avisos de seguridad\n\nEn esta sección, puede encontrar información más detallada sobre atributos de datos específicos en GitHub Advisory Database.\n\n### Identificadores GHSA\n\nCada aviso de seguridad, independientemente de su tipo, tiene un identificador único denominado identificador GHSA. Se asigna un calificador de `GHSA-ID` cuando se crea un nuevo aviso en GitHub o se agrega a GitHub Advisory Database desde cualquiera de los orígenes admitidos.\n\nLa sintaxis de los identificadores GHSA sigue este formato: `GHSA-xxxx-xxxx-xxxx` donde:\n\n* `x` es una letra o un número del siguiente conjunto: `23456789cfghjmpqrvwx`.\n* Fuera de la parte `GHSA` del nombre:\n * Los números y letras se asignan aleatoriamente.\n * Todas las letras son minúsculas.\n\nPuedes validar un identificador GHSA mediante una expresión regular.\n\n```bash copy\n/GHSA(-[23456789cfghjmpqrvwx]{4}){3}/\n```\n\n### Niveles de CVSS\n\nGitHub Advisory Database admite CVSS versión 3.1 y CVSS versión 4.0.\n\nCada aviso de seguridad contiene información sobre la vulnerabilidad o el malware, la que puede incluir la descripción, la gravedad, el paquete afectado, el ecosistema del paquete, las versiones afectadas y las versiones a las que se aplicaron revisiones, el impacto e información opcional como referencias, soluciones alternativas y créditos. Adicionalmente, las asesorías de la National Vulnerability Database contiene un enlace al registro de CVE, en donde puedes leer más sobre los detalles de la vulnerabilidad, su puntuación de CVSS y su nivel de severidad cualitativo. Para obtener más información, consulte la [Base de datos nacional de vulnerabilidades](https://nvd.nist.gov/) del Instituto Nacional de Estándares y Tecnología.\n\nEl nivel de gravedad es uno de los cuatro niveles posibles definidos en el [Sistema común de puntuación de vulnerabilidades (CVSS), sección 5](https://www.first.org/cvss/specification-document).\n\n* Low\n* Medio/Moderado\n* High\n* Crítico\n\nLa GitHub Advisory Database utiliza los niveles del CVSS tal como se describen anteriormente. Si GitHub obtiene un CVE, GitHub Advisory Database usa la versión de CVSS asignada por el encargado de mantenimiento, que puede ser la versión 3.1 o 4.0. Si se importa el CVE, GitHub Advisory Database será compatible con las versiones de CVSS 4.0, 3.1 y 3.0..\n\nTambién puede unir [GitHub Security Lab](https://securitylab.github.com/) para examinar temas relacionados con la seguridad y colaborar en herramientas y proyectos de seguridad.\n\n### Puntuaciones de EPSS\n\nEl sistema de puntuación de predicción de vulnerabilidades o EPSS es un sistema diseñado por el foro global de respuesta a incidentes y equipos de seguridad (FIRST) para cuantificar la probabilidad de vulnerabilidad. El modelo genera una puntuación de probabilidad entre 0 y 1 (0 y 100 %), donde cuanto mayor sea la puntuación, mayor será la probabilidad de que se aproveche una vulnerabilidad. Para obtener más información acerca de FIRST, consulte .\n\nGitHub Advisory Database incluye puntuaciones de EPSS de FIRST para avisos que contienen CVE con los datos de EPSS correspondientes. GitHub también muestra el percentil de puntuación de EPSS, que es la proporción de todas las vulnerabilidades puntuadas con la misma o menor puntuación de EPSS.\n\nPor ejemplo, si un aviso tenía una puntuación de EPSS que tenía un porcentaje del 90,534 % en el percentil 95, según el [modelo de EPSS](https://www.first.org/epss/model), esto significa que:\n\n* Hay un 90,534 % de probabilidad de que esta vulnerabilidad se aproveche libremente en los próximos 30 días.\n* Se considera que el 95% del total de vulnerabilidades modeladas tienen menos probabilidades de ser explotadas en los próximos 30 días que esta vulnerabilidad.\n\nPuede encontrar más información sobre cómo interpretar estos datos en la Guía del usuario de EPSS de FIRST. Esta información le ayuda a comprender cómo se puede usar tanto el porcentaje como el percentil para interpretar la probabilidad de que se pueda aprovechar una vulnerabilidad libremente según el modelo de FIRST. Para obtener más información, consulte la [Guía de usuario de EPSS de FIRST](https://www.first.org/epss/user-guide) en el sitio web de FIRST.\n\nFIRST también proporciona información adicional sobre la distribución de sus datos de EPSS. Para obtener más información, consulte la [Documentación de datos y estadísticas de EPSS](https://www.first.org/epss/data_stats) en el sitio web de FIRST.\n\n> \\[!NOTE] GitHub mantiene actualizados los datos de EPSS con una acción de sincronización diaria. Aunque los porcentajes de puntuación de EPSS siempre se sincronizarán completamente, los percentiles de puntuación solo se actualizarán cuando sean significativamente diferentes.\n\nEn GitHub, no creamos estos datos, sino que los obtenemos de FIRST, lo que significa que estos datos no se pueden editar en las contribuciones de la comunidad. Para obtener más información sobre las contribuciones de la comunidad, consulte [Edición de avisos de seguridad en la base de avisos de GitHub](/es/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/editing-security-advisories-in-the-github-advisory-database).\n\n## Contribuciones de la comunidad\n\nUna **contribución de la comunidad** es una solicitud de incorporación de cambios enviada al repositorio de [github/advisory-database](https://github.com/github/advisory-database?ref_product=security-advisories\\&ref_type=engagement\\&ref_style=text) que mejora el contenido de un aviso de seguridad global. Al realizar una contribución de la comunidad, puede editar o agregar cualquier detalle, incluidos ecosistemas afectados adicionales, el nivel de gravedad o la descripción de quién se ve afectado. El equipo de protección de GitHub Security Lab revisará las contribuciones enviadas y las publicará en GitHub Advisory Database si se aceptan.\n\nSi aceptamos y publicamos la contribución a la comunidad, a la persona que envió la solicitud de incorporación de cambios se le asignará automáticamente un tipo de crédito de \"Analista\". Para más información, consulta [Creación de un aviso de seguridad de repositorio](/es/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory#about-credits-for-repository-security-advisories)\n\n## Lectura adicional\n\n* [Acerca de las alertas Dependabot](/es/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)\n* La definición del [programa CVE de \"vulnerabilidad\"](https://www.cve.org/ResourcesSupport/Glossary#glossaryVulnerability)"}