Skip to main content

Gestion des vulnérabilités de sécurité signalées en privé

Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée.

Qui peut utiliser cette fonctionnalité ?

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Les propriétaires et les administrateurs de dépôts publics peuvent activer les rapports de vulnérabilités privés sur leurs dépôts. Pour plus d’informations, consultez « Configuration de rapports de vulnérabilité privés pour un dépôt ».

À propos du signalement privé d’une vulnérabilité de sécurité

Les rapports de vulnérabilités privés permettent aux chercheurs en sécurité de vous signaler les vulnérabilités directement au moyen d’un simple formulaire.

Quand un chercheur en sécurité signale une vulnérabilité en privé, vous en êtes notifié et pouvez choisir d’accepter le rapport, de poser d’autres questions ou de le rejeter. Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif de la vulnérabilité en privé avec le chercheur en sécurité.

Gestion des vulnérabilités de sécurité signalées en privé

Quand une nouvelle vulnérabilité est signalée en privé sur un dépôt où les rapports de vulnérabilités privés sont activés, GitHub avertit les responsables de la maintenance du dépôt et les responsables de la sécurité si :

  • Ils surveillent le dépôt pour toutes les activités.
  • Les notifications sont activées pour le dépôt.

Pour plus d’informations sur la configuration des préférences de notification, consultez « Configuration de rapports de vulnérabilité privés pour un dépôt ».

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.

  4. Cliquez sur l’avis que vous souhaitez consulter. Un avis qui a été signalé en privé a l’état Triage.

    Capture d’écran d’une liste « Avis de sécurité ».

  5. Examinez attentivement le rapport, puis choisissez comment procéder.

    • Pour collaborer sur un correctif en privé, cliquez sur Démarrer une duplication privée temporaire afin de créer un emplacement pour d’autres discussions avec le contributeur. Cela ne modifie pas l’état de l’avis proposé à partir de Triage.

    • Acceptez le rapport de vulnérabilité en tant que brouillon d’avis sur GitHub, en cliquant sur Accepter et ouvrir en tant que brouillon. Si vous choisissez cette option :

      • Cela ne rend pas le rapport public.
      • Le rapport devient un brouillon d’avis de sécurité de dépôt et vous pouvez travailler dessus de la même façon que sur tout brouillon d’avis que vous créez. Pour plus d’informations sur les avis de sécurité, consultez « À propos des avis de sécurité des référentiels ».
    • Pour demander plus d’information ou pour ouvrir une discussion avec le signaleur, vous pouvez commenter l’avis. Les commentaires ne sont visibles que par le signaleur et par tous les collaborateurs sur l’avis.

    • Si vous disposez de suffisamment d’informations pour déterminer que le problème décrit par le signaleur n’est pas un risque pour la sécurité, cliquez sur Fermer l’avis de sécurité. Si possible, avant de fermer l’avis, vous devez ajouter un commentaire expliquant pourquoi vous ne considérez pas le rapport comme un risque pour la sécurité.

      Capture d’écran montrant les options disponibles pour le chargé de maintenance de dépôt lors de l’examen d’un rapport de vulnérabilité soumis en externe.