Skip to main content

将安全策略添加到存储库

您可以为仓库添加安全政策,说明如何报告项目中的安全漏洞。

关于安全政策

若要为人员提供有关报告项目中安全漏洞的说明,可以将 SECURITY.md 文件添加到存储库根路径 (docs) 或 .github 文件夹中。 将此文件添加到存储库的此部分会自动创建一个包含描述的行,人们可以在其中查看它。 当某人在存储库中创建问题时,他们将看到项目安全策略的链接。

你可以为组织或个人帐户创建默认的安全政策。 有关详细信息,请参阅“创建默认的社区运行状况文件”。

Tip

为帮助人们查找安全策略,可以从存储库中的其他位置(如 README 文件)链接到 SECURITY.md 文件。 有关详细信息,请参阅“关于自述文件”。

当有人报告项目中的安全漏洞后,可以使用 GitHub Security Advisories 披露、修复和发布关于该漏洞的信息。 有关 GitHub 中报告和披露漏洞的过程的详细信息,请参阅 关于安全漏洞的协调披露。 有关仓库安全性公告详细信息,请参阅 关于存储库安全公告

还可加入 GitHub Security Lab,以浏览与安全相关的主题,并为安全工具和项目做出贡献。

有关实际 SECURITY.md 文件的示例,请参阅 https://github.com/electron/electron/blob/main/SECURITY.md

将安全策略添加到存储库

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。

    存储库标头的屏幕截图,其中显示了选项卡。 “安全性”选项卡以深橙色边框突出显示。

  3. 在左侧边栏中的“报告”下,单击“ 策略”。

  4. 单击“开始设置”。

  5. 在新的 SECURITY.md 文件中,添加有关受支持的项目版本以及如何报告漏洞的信息。

  6. 单击“提交更改...”

  7. 在“提交消息”字段中,输入简短、有意义的提交消息,以描述对文件的更改。 您可以在提交消息中将提交归于多个作者。 有关详细信息,请参阅“创建有多个作者的提交”。

  8. 如果在 GitHub 上有多个电子邮件地址与你的帐户关联,请单击电子邮件地址下拉菜单,然后选择要用作 Git 作者电子邮件地址的电子邮件地址。 只有经过验证的电子邮件地址才会出现在此下拉菜单中。 如果启用了电子邮件地址隐私,则使用无回复电子邮件地址作为默认提交作者的电子邮件地址。 有关无回复电子邮件地址可以采用的确切格式的详细信息,请参阅“设置提交电子邮件地址”。

    GitHub 拉取请求的屏幕截图,其中显示了一个下拉菜单,包含用于选择提交作者电子邮件地址的选项。 已选择 octocat@github.com。

  9. 在提交消息字段下面,确定是要将提交添加到当前分支还是新分支。 如果当前分支是默认分支,则应选择为提交创建新分支,然后创建拉取请求。 有关详细信息,请参阅“创建拉取请求”。

    GitHub 拉取请求的屏幕截图,其中显示了一个单选按钮,用于直接提交到主分支或创建新分支。 已选择“新建分支”。

  10. 单击“提交更改”或“建议更改” 。

其他阅读材料