Skip to content
Latchkey

O Que É um Security Advisory? A Palavra Oficial Sobre uma Vulnerabilidade

Um security advisory é um aviso oficial publicado que descreve uma vulnerabilidade, o que ela afeta, o quão grave é e o que fazer a respeito.

Quando uma vulnerabilidade é divulgada de forma responsável, o mantenedor ou um órgão de coordenação publica um security advisory: o relato legível por humanos da falha e de seu remédio. É o documento que transforma um CVE ID enigmático em informação acionável, dizendo quais versões são afetadas e qual versão corrige.

O que um advisory inclui

  • Uma descrição da vulnerabilidade e seu impacto.
  • As versões afetadas e a versão corrigida.
  • Uma classificação de severidade, geralmente com um CVSS score.
  • Workarounds, referências e o CVE associado.

Quem os publica

Mantenedores de projetos, fornecedores e bancos de dados de ecossistema (como o GitHub Advisory Database) publicam advisories. A divulgação coordenada geralmente significa que o advisory e a correção chegam juntos, para que atacantes não fiquem sabendo da falha antes que os defensores possam aplicar o patch.

Como eles chegam ao seu pipeline

Advisories alimentam bancos de dados de vulnerabilidades e ferramentas de dependências. Quando um advisory afeta algo que você usa, ferramentas automatizadas (como o Dependabot) podem abrir um pull request atualizando você para a versão corrigida, muitas vezes em poucas horas após a publicação.

Lendo a severidade no contexto

A severidade de um advisory é um ponto de partida. Se ela é urgente para você depende de se você usa o caminho de código afetado e o quão exposto ele está. O advisory fornece os fatos; seu contexto decide a prioridade.

Agindo sobre advisories

O loop prático é: um advisory surge, sua tooling sinaliza builds afetados (ajudada por um SBOM), e você aplica o patch ou mitiga. Conectar o scanning ao CI garante que um novo advisory não possa silenciosamente afetar lançamentos sem que ninguém perceba.

Principais conclusões

  • Um security advisory é o aviso oficial e acionável sobre uma vulnerabilidade.
  • Ele nomeia versões afetadas e corrigidas, severidade, e referencia o CVE.
  • Advisories alimentam scanners e ferramentas como o Dependabot que automatizam a correção.

Guias relacionados