Skip to main content

Konfigurieren der privaten Meldung von Sicherheitsrisiken für eine Organisation

Organisationsbesitzerinnen und Sicherheitsmanager können Sicherheitsexpertinnen ermöglichen, Sicherheitsrisiken sicher in Repositorys innerhalb der Organisation zu melden, indem sie die private Sicherheitsrisikoberichterstattung für alle öffentlichen Repositorys aktivieren.

Wer kann dieses Feature verwenden?

Anyone with admin permissions to an organization, or with a security manager role within the organization, can enable and disable private vulnerability reporting for that organization.

Informationen zum privaten Melden eines Sicherheitsrisikos

Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte. Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen. Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen.

Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscher*innen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an dich zu melden.

Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem bzw. der Sicherheitsforscher*in privat an einem Fix für das Sicherheitsrisiko zu arbeiten.

Für Organisationsbesitzer*innen und Sicherheitsmanager sind die Vorteile der privaten Berichterstellung die folgenden: - Geringeres Risiko, öffentlich oder über unerwünschte Mittel kontaktiert zu werden.

  • Empfangen von Berichten auf derselben Plattform, auf der du sie der Einfachheit halber auflöst
  • Der Sicherheitsforscher erstellt oder initiiert den Beratungsbericht im Auftrag von Verwaltern.
  • Verwalter erhalten Berichte auf derselben Plattform wie der, die zum Diskutieren und Lösen der Empfehlungen verwendet wird.
  • Sicherheitsrisiken sind weniger wahrscheinlich in der Öffentlichkeit zu finden.
  • Die Möglichkeit, Details zu Sicherheitsrisiken privat mit Sicherheitsforschern zu besprechen und am Patch zusammenzuarbeiten.

Die folgenden Anweisungen beziehen sich auf die Aktivierung auf Organisationsebene. Informationen zum Aktivieren des Features für ein Repository findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

Wenn ein neues Sicherheitsrisiko privat für ein Repository gemeldet wird, in dem die private Berichterstellung für Sicherheitsrisiken aktiviert ist, benachrichtigt GitHub Repositorymaintainerinnen und Sicherheitsmanagerinnen in folgenden Fällen:

  • Sie beobachten das Repository für alle Aktivitäten.
  • Für sie sind Benachrichtigungen für das Repository aktiviert.

Weitere Informationen zum Konfigurieren von Benachrichtigungseinstellungen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

Aktivieren oder Deaktivieren der privaten Meldung von Sicherheitsrisiken für alle vorhandenen öffentlichen Repositorys in einer Organisation

  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicke unter „Codesicherheit und -analyse“ rechts neben „Privater Sicherheitsrisikoberichte“ auf Alle aktivieren oder Alle deaktivieren, um das Feature für alle öffentlichen Repositorys innerhalb der Organisation zu aktivieren bzw. zu deaktivieren. Screenshot der Seite „Codesicherheit und -analyse“ mit hervorgehobener Schaltfläche „Alle deaktivieren“ und „Alle aktivieren“ für die private Sicherheitsrisikoberichterstattung

Aktivieren oder Deaktivieren der privaten Meldung von Sicherheitsrisiken für neue öffentliche Repositorys, die der Organisation hinzugefügt wurden

  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.

  4. Klicke unter „Codesicherheit und -analyse“ rechts neben dem Feature auf Automatisch für neue öffentliche Repositorys aktivieren. Screenshot der Seite „Codesicherheit und -analyse“ mit hervorgehobenem Kontrollkästchen „Automatisch für neue öffentliche Repositorys aktivieren“ für die private Meldung von Sicherheitsrisiken

  5. Klicke rechts neben „Privater Sicherheitsrisikoberichte“ auf Alle aktivieren oder Alle deaktivieren, um das Feature für die neuen öffentlichen Repositorys zu aktivieren bzw. zu deaktivieren, die zur Organisation hinzugefügt werden.

So sieht die Aktivierung der privaten Meldung von Sicherheitsrisiken für ein Repository für Sicherheitsexpert*innen aus

Wenn ein die private Berichterstellung zu Sicherheitsrisiken für ein Repository aktiviert ist, wird Sicherheitsexpert*innen eine neue Schaltfläche auf der Seite Empfehlungen des Repositorys angezeigt. Der Sicherheitsforscher kann auf diese Schaltfläche klicken, um dem Repository-Verwalter privat ein Sicherheitsrisiko zu melden.

Screenshot: Schaltfläche „Sicherheitsrisiko melden“ für ein Repository, in dem die private Berichterstellung zu Sicherheitsrisiken aktiviert wurde

Sicherheitsforscher*innen können auch die REST-API verwenden, um Sicherheitsrisiken privat zu melden. Weitere Informationen finden Sie unter „Privates Melden eines Sicherheitsrisikos“.