Skip to main content

Privates Melden eines Sicherheitsrisikos

Bei einigen öffentlichen Repositorys sind die Sicherheitsempfehlungen so konfiguriert, dass jede Person Sicherheitsrisiken direkt und privat an die Maintainer*innen melden kann.

Besitzer und Administratoren öffentlicher Repositorys können das private Melden von Sicherheitsrisiken für ihre Repositorys aktivieren. Weitere Informationen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

Note

  • Wenn du über Administrator- oder Sicherheitsberechtigungen für eine öffentliches Repository verfügst, musst du keinen Bericht zu Sicherheitsrisiken übermitteln. Stattdessen kannst du direkt einen Entwurf einer Sicherheitsempfehlung erstellen. Weitere Informationen finden Sie unter Erstellen einer Sicherheitsempfehlung für ein Repository.
  • Die Möglichkeit, eine Sicherheitslücke in einem Repository privat zu melden, hängt nicht mit dem Vorhandensein einer SECURITY.md-Datei im Stamm- oder docs-Verzeichnis dieses Repositorys zusammen.
    • Die Datei SECURITY.md enthält die Sicherheitsrichtlinie für das Repository. Repositoryadministrator*innen können diese Datei hinzufügen und verwenden, um öffentliche Anweisungen zum Melden eines Sicherheitsrisikos in ihrem Repository bereitzustellen. Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.
    • Du kannst ein Sicherheitsrisiko nur für Repositorys privat melden, in denen die private Meldung von Sicherheitsrisiken aktiviert ist, und du musst in diesem Fall die Anweisungen in der Datei SECURITY.md nicht befolgen. Dieser Meldeprozess ist vollständig privat, und GitHub benachrichtigt die Repositoryadministrator*innen direkt über deine Übermittlung.

Informationen zum privaten Melden eines Sicherheitsrisikos

Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte. Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen. Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen.

Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscherinnen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an die Maintainerinnen von Repositorys zu melden.

Für Sicherheitsforscher*innen bietet ein privates Melden von Sicherheitsrisiken die folgenden Vorteile:

  • Weniger Frust und weniger Zeit, die aufgewendet werden muss, um herauszufinden, wie man den bzw. die Maintainer*in kontaktieren kann
  • Ein reibungsloserer Prozess für das Offenlegen und Besprechen von Details zu Sicherheitsrisiken
  • Die Möglichkeit, Details zu Sicherheitsrisiken privat mit dem bzw. der Maintainer*in des Repositorys zu besprechen.

Note

Wenn das private Melden von Sicherheitsrisiken für das Repository nicht aktiviert ist, musst du den Meldeprozess initiieren, indem du die Anweisungen in der Sicherheitsrichtlinie für das Repository befolgst oder ein Issue erstellst, in dem du die Verwalter nach einem bevorzugten Sicherheitskontakt fragst. Weitere Informationen findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

Privates Melden eines Sicherheitsrisikos

Wenn in einem öffentlichen Repository die private Meldung von Sicherheitsrisiken aktiviert ist, kann jeder den Betreuern des Repositorys ein Sicherheitsrisiko privat melden. Benutzer können auch die allgemeine Sicherheit eines öffentlichen Repositorys auswerten und eine Sicherheitsrichtlinie vorschlagen. Weitere Informationen finden Sie unter Auswerten der Sicherheitseinstellungen eines Repositorys.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf Sicherheitsrisiko melden, um das Empfehlungsformular zu öffnen.

  4. Fülle das Formular für die Empfehlungsdetails aus.

    Tip

    In diesem Formular sind nur der Titel und die Beschreibung obligatorisch. (Im allgemeinen Entwurf für das Formular für Sicherheitsempfehlungen, das der bzw. die Repository-Maintainerin initiiert, ist die Angabe eines Ökosystems ebenfalls erforderlich.) Es wird jedoch empfohlen, dass Sicherheitsforscherinnen so viele Informationen wie möglich im Formular angeben, damit die Maintainer*innen eine fundierte Entscheidung in Bezug auf die übermittelte Meldung treffen können. Sie können die von unseren Sicherheitsexperten verwendete Vorlage aus GitHub Security Lab übernehmen, die im „github/securitylab-Repository“ verfügbar ist.

    Weitere Informationen zu den verfügbaren Feldern und Leitfäden zum Ausfüllen des Formulars findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository und Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys.

  5. Klicke unten im Formular auf Meldung übermitteln. GitHub zeigt dann eine Meldung an, dass die Maintainer*innen benachrichtigt wurden und eine ausstehende Erwähnung für dich in Bezug auf diese Sicherheitsempfehlung vorliegt.

    Tip

    Wenn die Meldung übermittelt wird, fügt GitHub die Person, die das Sicherheitsrisiko gemeldet hat, automatisch als Projektmitarbeiter und erwähnter Benutzer in der vorgeschlagenen Empfehlung hinzu.

  6. Klicke optional auf Mit temporärem privatem Fork beginnen, wenn du beginnen möchtest, das Problem zu beheben. Beachte, dass nur Repositorymaintainer*innen Änderungen aus diesem privaten Fork mit dem übergeordneten Repository zusammenführen können.

    Screenshot des unteren Rands einer Sicherheitsempfehlung Die Schaltfläche „Temporären Fork beginnen“ ist dunkelorange umrandet.

Die nächsten Schritte hängen davon ab, welche Maßnahmen der bzw. die Repository-Maintainer*in ergreift. Weitere Informationen finden Sie unter Verwalten privat gemeldeter Sicherheitsrisiken.