Informationen zum privaten Melden eines Sicherheitsrisikos
Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte. Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen. Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen.
Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscher*innen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an dich zu melden.
Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem bzw. der Sicherheitsforscher*in privat an einem Fix für das Sicherheitsrisiko zu arbeiten.
Für Maintainer sind die Vorteile der privaten Berichterstellung die folgenden: * Geringeres Risiko, öffentlich oder über unerwünschte Mittel kontaktiert zu werden.
- Empfangen von Berichten auf derselben Plattform, auf der du sie der Einfachheit halber auflöst
- Der Sicherheitsforscher erstellt oder initiiert den Beratungsbericht im Auftrag von Verwaltern.
- Verwalter erhalten Berichte auf derselben Plattform wie der, die zum Diskutieren und Lösen der Empfehlungen verwendet wird.
- Sicherheitsrisiken sind weniger wahrscheinlich in der Öffentlichkeit zu finden.
- Die Möglichkeit, Details zu Sicherheitsrisiken privat mit Sicherheitsforschern zu besprechen und am Patch zusammenzuarbeiten.
Die Anweisungen in diesem Artikel beziehen sich auf die Aktivierung auf Repositoryebene. Informationen zum Aktivieren des Features auf Organisationsebene findest du unter Konfigurieren der privaten Meldung von Sicherheitsrisiken für eine Organisation.
Aktivieren oder Deaktivieren der Meldung privater Sicherheitsrisiken für ein Repository
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Namen deines Repositorys die Option Einstellungen aus. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.
-
Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.
-
Klicke unter „Codesicherheit und -analyse“ rechts neben „Privater Sicherheitsrisikoberichte“ auf Aktivieren oder Deaktivieren, um das Feature zu aktivieren bzw. zu deaktivieren.
Wenn ein die private Berichterstellung zu Sicherheitsrisiken für ein Repository aktiviert ist, wird Sicherheitsexpert*innen eine neue Schaltfläche auf der Seite Empfehlungen des Repositorys angezeigt. Der Sicherheitsforscher kann auf diese Schaltfläche klicken, um dem Repository-Verwalter privat ein Sicherheitsrisiko zu melden.
Sicherheitsforscher*innen können auch die REST-API verwenden, um Sicherheitsrisiken privat zu melden. Weitere Informationen finden Sie unter „Privates Melden eines Sicherheitsrisikos“.
Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository
Wenn ein neues Sicherheitsrisiko privat für ein Repository gemeldet wird, in dem die private Berichterstellung für Sicherheitsrisiken aktiviert ist, benachrichtigt GitHub Repositorymaintainerinnen und Sicherheitsmanagerinnen in folgenden Fällen:
- Sie beobachten das Repository für alle Aktivitäten.
- Für sie sind Benachrichtigungen für das Repository aktiviert.
Benachrichtigungen richten sich nach den Benachrichtigungseinstellungen der Benutzer*innen. Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:
- Du überwachst das Repository.
- Du hast Benachrichtigungen für „Alle Aktivitäten“ aktiviert.
- Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Um mit der Überwachung des Repositorys zu beginnen, wähle Überwachen aus.
-
Klicke im Dropdownmenü auf Jede Aktivität.
-
Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.
-
Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ die Dropdownliste Mich benachrichtigen aus.
-
Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.
Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.