Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Aktuelle Informationen findest du in der englischsprachigen Dokumentation.
All products
Codesicherheit

Configuring private vulnerability reporting for a repository

In diesem Artikel

Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting.

Wer kann dieses Feature verwenden?

Anyone with admin permissions to a public repository can enable and disable private vulnerability reporting for the repository.

Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Besitzer und Administratoren öffentlicher Repositorys können Sicherheitsforschern ermöglichen, Sicherheitsrisiken sicher im Repository zu melden, indem sie die private-Sicherheitsrisikoberichterstattung aktivieren.

Konfigurieren für ein Repository

Hinweis: Das private Melden von Sicherheitsrisiken ist derzeit als Betaversion verfügbar und kann noch geändert werden.

Informationen zum privaten Melden eines Sicherheitsrisikos

Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte.

Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen.

Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen. Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscher*innen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an dich zu melden.

Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem bzw. der Sicherheitsforscher*in privat an einem Fix für das Sicherheitsrisiko zu arbeiten.

Für Maintainer sind die Vorteile der privaten Berichterstellung die folgenden: - Geringeres Risiko, öffentlich oder über unerwünschte Mittel kontaktiert zu werden.

  • Empfangen von Berichten auf derselben Plattform, auf der du sie der Einfachheit halber auflöst
  • Der Sicherheitsforscher erstellt oder initiiert den Beratungsbericht im Auftrag von Verwaltern.
  • Verwalter erhalten Berichte auf derselben Plattform wie der, die zum Diskutieren und Lösen der Empfehlungen verwendet wird.
  • Sicherheitsrisiken sind weniger wahrscheinlich in der Öffentlichkeit zu finden.
  • Die Möglichkeit, Details zu Sicherheitsrisiken privat mit Sicherheitsforschern zu besprechen und am Patch zusammenzuarbeiten.

Die Anweisungen in diesem Artikel beziehen sich auf die Aktivierung auf Repositoryebene.

  1. Informationen zum Aktivieren des Features auf Organisationsebene findest du unter Konfigurieren der privaten Sicherheitsrisikoberichterstattung für eine Organisation.

    Aktivieren oder Deaktivieren der Meldung privater Sicherheitsrisiken für ein Repository

  2. Navigiere auf GitHub.com zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Einstellungen. Schaltfläche „Repositoryeinstellungen“

  3. Klicke im Abschnitt „Sicherheit“ auf der Randleiste auf Codesicherheit und -analyse.