Приватный отчет об уязвимости безопасности

Некоторые общедоступные репозитории настраивают помощники по безопасности, чтобы любой пользователь мог сообщать об уязвимостях безопасности напрямую и в частном порядке в службу поддержки.

Кто может использовать эту функцию?

Anyone can privately report a security vulnerability to repository maintainers.

Владельцы и администраторы общедоступных репозиториев могут включать отчеты о частных уязвимостях в своих репозиториях. См . раздел AUTOTITLE.

Примечание.

  • Если у вас есть права администратора или безопасности для публичного репозитория, вам не нужно подавать отчёт об уязвимости. Вместо этого создайте проект предупреждения по безопасности напрямую. См . раздел AUTOTITLE.
  • Отчёты о приватных уязвимостях отдельны от файла SECURITY.md репозитория. Вы можете сообщать о уязвимостях приватно только в репозиториях, где эта функция включена, и не обязательно следовать инструкциям в SECURITY.md.

Если в публичном репозитории включена частная отчетность о уязвимости, любой желающий может отправить отчёт о приватной уязвимости сопровождающим репозиториума.

Если в репозитории не включено приватное отчётное сообщение о уязвимости, вам нужно начать процесс отчёта, следуя инструкциям в политике безопасности репозитория или создать проблему, запросив у сопровождающих предпочтительный контакт безопасности. См . раздел AUTOTITLE.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. Нажмите кнопку "Сообщить об уязвимости ", чтобы открыть форму рекомендаций.

  4. Заполните форму сведений о рекомендациях.

    Совет

    В этой форме обязательны только заголовок и описание. (В общей форме рекомендаций по обеспечению безопасности, которая инициирует ответственный за репозиторий, указывая экосистему, также требуется.) Тем не менее, мы рекомендуем исследователям безопасности предоставить максимально подробную информацию о форме, чтобы поддержку могли принять информированное решение о отправленном отчете. Вы можете применить шаблон, используемый нашими исследователями по безопасности из GitHub Security Lab, который доступен в репозиторииgithub/securitylab.

    Дополнительные сведения о полях, доступных и рекомендациях по заполнению формы, см. в разделе [AUTOTITLE и Создание рекомендаций по безопасности репозитория](/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/best-practices-for-writing-repository-security-advisories).

  5. В нижней части формы нажмите кнопку "Отправить отчет". GitHub отобразит сообщение, позволяющее узнать, что обслуживающие были уведомлены и что у вас есть ожидающий кредит для этого рекомендации по обеспечению безопасности.

    Совет

    При отправке отчета GitHub автоматически добавляет репортер уязвимости в качестве участника совместной работы и в качестве кредитованного пользователя в предлагаемых рекомендациях.

  6. При необходимости нажмите кнопку "Пуск временной закрытой вилки ", если вы хотите начать устранение проблемы. Обратите внимание, что только ответственный за репозиторий может объединять изменения из этого закрытого вилки в родительский репозиторий.

    Снимок экрана: нижняя часть рекомендаций по безопасности. Кнопка, помеченная как "Пуск временной вилки", описывается в темно-оранжевый цвет.

Следующие действия зависят от действий, выполняемых ответственный за репозиторий. См . раздел AUTOTITLE.