Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

In diesem Artikel

Besitzer und Administratoren öffentlicher Repositorys können Sicherheitsforschern ermöglichen, Sicherheitsrisiken sicher im Repository zu melden, indem sie die private-Sicherheitsrisikoberichterstattung aktivieren.

Wer kann dieses Feature verwenden?

Anyone with admin permissions to a public repository can enable and disable private vulnerability reporting for the repository.

Hinweis: Das private Melden von Sicherheitsrisiken ist derzeit als Betaversion verfügbar und kann noch geändert werden.

Informationen zum privaten Melden eines Sicherheitsrisikos

Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte. Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen. Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen.

Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscher*innen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an dich zu melden.

Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem bzw. der Sicherheitsforscher*in privat an einem Fix für das Sicherheitsrisiko zu arbeiten.

Für Maintainer sind die Vorteile der privaten Berichterstellung die folgenden: - Geringeres Risiko, öffentlich oder über unerwünschte Mittel kontaktiert zu werden.

  • Empfangen von Berichten auf derselben Plattform, auf der du sie der Einfachheit halber auflöst
  • Der Sicherheitsforscher erstellt oder initiiert den Beratungsbericht im Auftrag von Verwaltern.
  • Verwalter erhalten Berichte auf derselben Plattform wie der, die zum Diskutieren und Lösen der Empfehlungen verwendet wird.
  • Sicherheitsrisiken sind weniger wahrscheinlich in der Öffentlichkeit zu finden.
  • Die Möglichkeit, Details zu Sicherheitsrisiken privat mit Sicherheitsforschern zu besprechen und am Patch zusammenzuarbeiten.

Die Anweisungen in diesem Artikel beziehen sich auf die Aktivierung auf Repositoryebene. Informationen zum Aktivieren des Features auf Organisationsebene findest du unter Konfigurieren der privaten Meldung von Sicherheitsrisiken für eine Organisation.

Aktivieren oder Deaktivieren der Meldung privater Sicherheitsrisiken für ein Repository

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  2. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  3. Klicke unter „Codesicherheit und -analyse“ rechts neben „Privater Sicherheitsrisikoberichte“ auf Aktivieren oder Deaktivieren, um das Feature zu aktivieren bzw. zu deaktivieren.

    Screenshot der Seite „Codesicherheit und -analyse“ mit der Einstellung „Private Sicherheitsrisikoberichte“. Die Schaltfläche „Aktivieren“ ist dunkelorange umrandet.

Wenn ein die private Berichterstellung zu Sicherheitsrisiken für ein Repository aktiviert ist, wird Sicherheitsexpert*innen eine neue Schaltfläche auf der Seite Empfehlungen des Repositorys angezeigt. Der Sicherheitsforscher kann auf diese Schaltfläche klicken, um dem Repository-Verwalter privat ein Sicherheitsrisiko zu melden.

Screenshot: Schaltfläche „Sicherheitsrisiko melden“ für ein Repository, in dem die private Berichterstellung zu Sicherheitsrisiken aktiviert wurde