Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Besitzer und Administratoren öffentlicher Repositorys können Sicherheitsforschern ermöglichen, Sicherheitsrisiken sicher im Repository zu melden, indem sie die private-Sicherheitsrisikoberichterstattung aktivieren.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Wenn Sie private Sicherheitsrisikoberichte aktivieren, erhalten Sicherheitsforscher eine sichere, strukturierte Möglichkeit, Sicherheitsrisiken direkt in Ihrem Repository offenzulegen. Nach der Aktivierung können Forscher Berichte übermitteln, ohne auf öffentliche Offenlegung oder informelle Kanäle zurückgreifen zu müssen. Hintergrundinformationen zu privaten Sicherheitsrisikenberichten und zur koordinierten Offenlegung finden Sie unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

Die Anweisungen in diesem Artikel beziehen sich auf die Aktivierung auf Repositoryebene. Informationen zur Aktivierung der Funktion auf Organisationsebene findest du unter Konfigurieren der privaten Meldung von Sicherheitsrisiken für eine Organisation.

Aktivieren oder Deaktivieren der Meldung privater Sicherheitsrisiken für ein Repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke unter „Advanced Security rechts neben „Private vulnerability reporting“ auf Enable oder Disable, um das Feature zu aktivieren bzw. zu deaktivieren.

           ![Screenshot der Seite „Code-Sicherheit und -Analyse“, der die Einstellung „Private Schwachstellenmeldung“ festlegt. Die Schaltfläche „Aktivieren“ ist orange umrandet.](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)

Wenn ein die private Berichterstellung zu Sicherheitsrisiken für ein Repository aktiviert ist, wird Sicherheitsexpert*innen eine neue Schaltfläche auf der Seite Empfehlungen des Repositorys angezeigt. Der Sicherheitsforscher kann auf diese Schaltfläche klicken, um dem Repository-Verwalter privat ein Sicherheitsrisiko zu melden.

Screenshot: Schaltfläche „Sicherheitsrisiko melden“ für ein Repository, in dem die private Berichterstellung zu Sicherheitsrisiken aktiviert wurde

Sicherheitsforscher*innen können auch die REST-API verwenden, um Sicherheitsrisiken privat zu melden. Weitere Informationen findest du unter Privates Melden eines Sicherheitsrisikos.

Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Benachrichtigungen richten sich nach den Benachrichtigungseinstellungen der Benutzer*innen. Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du überwachst das Repository.
  • Du hast Benachrichtigungen für „Alle Aktivitäten“ aktiviert.
  • Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.

  1. Um mit der Überwachung des Repositorys zu beginnen, wähle Watch aus.

    Screenshot der Hauptseite des Repositorys. Ein Dropdownmenü mit dem Titel „Überwachen“ ist in dunklem Orange eingerahmt.

  2. Klicke im Dropdownmenü auf Jede Aktivität.

  3. Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.

  4. Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ die Dropdownliste Mich benachrichtigen aus.

  5. Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.

    Screenshot der Benachrichtigungseinstellungen für ein Benutzerkonto. Unter „Abonnements“ und ‚Überwachen‘ ist ein Kontrollkästchen mit der Überschrift „E-Mail“ orange umrandet.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.