Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Privates Melden eines Sicherheitsrisikos

Bei einigen öffentlichen Repositorys sind die Sicherheitsempfehlungen so konfiguriert, dass jede Person Sicherheitsrisiken direkt und privat an die Maintainer*innen melden kann.

Hinweis: Das private Melden von Sicherheitsrisiken ist derzeit als Betaversion verfügbar und kann noch geändert werden.

Besitzer und Administratoren öffentlicher Repositorys können das private Melden von Sicherheitsrisiken für ihre Repositorys aktivieren. Weitere Informationen findest du unter Konfigurieren der privaten Meldung von Sicherheitsrisiken für ein Repository.

Informationen zum privaten Melden eines Sicherheitsrisikos

Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte. Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen. Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen.

Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscherinnen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an die Maintainerinnen von Repositorys zu melden.

Für Sicherheitsforscher*innen bietet ein privates Melden von Sicherheitsrisiken die folgenden Vorteile:

  • Weniger Frust und weniger Zeit, die aufgewendet werden muss, um herauszufinden, wie man den bzw. die Maintainer*in kontaktieren kann
  • Ein reibungsloserer Prozess für das Offenlegen und Besprechen von Details zu Sicherheitsrisiken
  • Die Möglichkeit, Details zu Sicherheitsrisiken privat mit dem bzw. der Maintainer*in des Repositorys zu besprechen

Hinweis: Wenn das private Melden von Sicherheitsrisiken für das Repository nicht aktiviert ist, musst du den Meldeprozess initiieren, indem du die Anweisungen in der Sicherheitsrichtlinie für das Repository befolgst oder ein Issue erstellst, in dem du den bzw. die Maintainer*in nach einem bevorzugten Sicherheitskontakt fragst. Weitere Informationen findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

Privates Melden eines Sicherheitsrisikos

Sicherheitsforscherinnen können Sicherheitsrisiken privat an Repository-Maintainerinnen melden.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Sicherheit. Registerkarte „Sicherheit“ 1. Klicke auf der linken Seitenleiste unter „Berichte“ auf Empfehlungen. Registerkarte „Sicherheitshinweise“

  2. Klicke auf Sicherheitsrisiko melden, um das Empfehlungsformular zu öffnen.

    Screenshot der Schaltfläche „Sicherheitsrisiko melden“

  3. Fülle das Formular für die Empfehlungsdetails aus.

    Tipp: In diesem Formular sind nur der Titel und die Beschreibung obligatorisch. (Im allgemeinen Entwurf für das Formular für Sicherheitsempfehlungen, das der bzw. die Repository-Maintainerin initiiert, ist die Angabe eines Ökosystems ebenfalls erforderlich.) Es wird jedoch empfohlen, dass Sicherheitsforscherinnen so viele Informationen wie möglich im Formular angeben, damit die Maintainer*innen eine fundierte Entscheidung in Bezug auf die übermittelte Meldung treffen können. Du kannst die von unseren Sicherheitsexperten verwendete Vorlage aus GitHub Security Lab übernehmen, was im github/securitylab-Repository verfügbar ist.

    Weitere Informationen zu den verfügbaren Feldern sowie einen Leitfaden zum Ausfüllen des Formulars findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository und Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys.

  4. Klicke unten im Formular auf Meldung übermitteln. GitHub zeigt dann eine Meldung an, dass die Maintainer*innen benachrichtigt wurden und eine ausstehende Erwähnung für dich in Bezug auf diese Sicherheitsempfehlung vorliegt.

    Screenshot: Schaltfläche „Meldung übermitteln“

    Tipp: Wenn die Meldung übermittelt wird, fügt GitHub die Person, die das Sicherheitsrisiko gemeldet hat, automatisch als Projektmitarbeiterin und erwähnten Benutzer*in in der vorgeschlagenen Empfehlung hinzu.

  5. Klicke optional auf Mit temporärem privatem Fork beginnen, wenn du beginnen möchtest, das Problem zu beheben. Beachte, dass nur der bzw. die Repository-Maintainer*in einen Merge für diesen privaten Fork durchführen kann.

    Screenshot: Schaltfläche „Mit temporärem privatem Fork beginnen“

Die nächsten Schritte hängen davon ab, welche Maßnahmen der bzw. die Repository-Maintainer*in ergreift. Weitere Informationen findest du unter Verwalten von privat gemeldeten Sicherheitsrisiken.