Besitzer und Administratoren öffentlicher Repositorys können das private Melden von Sicherheitsrisiken für ihre Repositorys aktivieren. Weitere Informationen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.
Hinweise:
- Wenn du über Administrator- oder Sicherheitsberechtigungen für eine öffentliches Repository verfügst, musst du keinen Bericht zu Sicherheitsrisiken übermitteln. Stattdessen kannst du direkt einen Entwurf einer Sicherheitsempfehlung erstellen. Weitere Informationen findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository.
- Die Möglichkeit, eine Sicherheitslücke in einem Repository privat zu melden, hängt nicht mit dem Vorhandensein einer
SECURITY.md-Datei im Stamm- oderdocs-Verzeichnis dieses Repositorys zusammen.- Die Datei
SECURITY.mdenthält die Sicherheitsrichtlinie für das Repository. Repositoryadministrator*innen können diese Datei hinzufügen und verwenden, um öffentliche Anweisungen zum Melden eines Sicherheitsrisikos in ihrem Repository bereitzustellen. Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository. - Du kannst ein Sicherheitsrisiko nur für Repositorys privat melden, in denen die private Meldung von Sicherheitsrisiken aktiviert ist, und du musst in diesem Fall die Anweisungen in der Datei
SECURITY.mdnicht befolgen. Dieser Meldeprozess ist vollständig privat, und GitHub benachrichtigt die Repositoryadministrator*innen direkt über deine Übermittlung.
- Die Datei
Informationen zum privaten Melden eines Sicherheitsrisikos
Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte. Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen. Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen.
Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscherinnen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an die Maintainerinnen von Repositorys zu melden.
Für Sicherheitsforscher*innen bietet ein privates Melden von Sicherheitsrisiken die folgenden Vorteile:
- Weniger Frust und weniger Zeit, die aufgewendet werden muss, um herauszufinden, wie man den bzw. die Maintainer*in kontaktieren kann
- Ein reibungsloserer Prozess für das Offenlegen und Besprechen von Details zu Sicherheitsrisiken
- Die Möglichkeit, Details zu Sicherheitsrisiken privat mit dem bzw. der Maintainer*in des Repositorys zu besprechen
Hinweis: Wenn das private Melden von Sicherheitsrisiken für das Repository nicht aktiviert ist, musst du den Meldeprozess initiieren, indem du die Anweisungen in der Sicherheitsrichtlinie für das Repository befolgst oder ein Issue erstellst, in dem du den bzw. die Maintainer*in nach einem bevorzugten Sicherheitskontakt fragst. Weitere Informationen findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.
Privates Melden eines Sicherheitsrisikos
Wenn du nicht über Administrator- oder Sicherheitsberechtigungen für eine öffentliches Repository verfügst, kannst du Repositoryverwalter*innen trotzdem privat ein Sicherheitsrisiko melden. Du kannst auch die allgemeine Sicherheit eines öffentliches Repository auswerten und eine Sicherheitsrichtlinie vorschlagen. Weitere Informationen findest du unter Auswerten der Sicherheitseinstellungen eines Repositorys.
-
Navigiere auf GitHub.com zur Hauptseite des Repositorys.
-
Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Klicke auf Sicherheitsrisiko melden, um das Empfehlungsformular zu öffnen.
-
Fülle das Formular für die Empfehlungsdetails aus.
Tipp: In diesem Formular sind nur der Titel und die Beschreibung obligatorisch. (Im allgemeinen Entwurf für das Formular für Sicherheitsempfehlungen, das der bzw. die Repository-Maintainerin initiiert, ist die Angabe eines Ökosystems ebenfalls erforderlich.) Es wird jedoch empfohlen, dass Sicherheitsforscherinnen so viele Informationen wie möglich im Formular angeben, damit die Maintainer*innen eine fundierte Entscheidung in Bezug auf die übermittelte Meldung treffen können. Du kannst die von unseren Sicherheitsexperten verwendete Vorlage aus GitHub Security Lab übernehmen, was im
github/securitylab-Repository verfügbar ist.Weitere Informationen zu den verfügbaren Feldern und Leitfäden zum Ausfüllen des Formulars findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository und Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys.
-
Klicke unten im Formular auf Meldung übermitteln. GitHub zeigt dann eine Meldung an, dass die Maintainer*innen benachrichtigt wurden und eine ausstehende Erwähnung für dich in Bezug auf diese Sicherheitsempfehlung vorliegt.
Tipp: Wenn die Meldung übermittelt wird, fügt GitHub die Person, die das Sicherheitsrisiko gemeldet hat, automatisch als Projektmitarbeiterin und erwähnten Benutzer*in in der vorgeschlagenen Empfehlung hinzu.
-
Klicke optional auf Mit temporärem privatem Fork beginnen, wenn du beginnen möchtest, das Problem zu beheben. Beachte, dass nur Repositorymaintainer*innen Änderungen aus diesem privaten Fork mit dem übergeordneten Repository zusammenführen können.
Die nächsten Schritte hängen davon ab, welche Maßnahmen der bzw. die Repository-Maintainer*in ergreift. Weitere Informationen findest du unter Verwalten privat gemeldeter Sicherheitsrisiken.