Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

Gestion des vulnérabilités de sécurité signalées en privé

Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée.

Qui peut utiliser cette fonctionnalité

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Les propriétaires et les administrateurs de dépôts publics peuvent activer les rapports de vulnérabilités privés sur leurs dépôts. Pour plus d’informations, consultez « Configuration de rapports de vulnérabilité privés pour un dépôt ».

À propos du signalement privé d’une vulnérabilité de sécurité

Les rapports de vulnérabilités privés permettent aux chercheurs en sécurité de vous signaler les vulnérabilités directement au moyen d’un simple formulaire.

Quand un chercheur en sécurité signale une vulnérabilité en privé, vous en êtes notifié et pouvez choisir d’accepter le rapport, de poser d’autres questions ou de le rejeter. Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif de la vulnérabilité en privé avec le chercheur en sécurité.

Gestion des vulnérabilités de sécurité signalées en privé

GitHub avertit les chargés de maintenance de dépôt quand les chercheurs en sécurité signalent en privé des vulnérabilités dans leur dépôt, et envoie des notifications si les chargés de maintenance surveillent le dépôt ou s’ils ont des notifications activées pour le dépôt. Pour plus d’informations, consultez « Configuration des notifications ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.

  2. Cliquez sur l’avis que vous souhaitez consulter. Un avis qui a été signalé en privé a l’état Triage.

    Capture d’écran d’une liste « Avis de sécurité ».

  3. Examinez attentivement le rapport, puis choisissez comment procéder.

    • Pour collaborer sur un correctif en privé, cliquez sur Démarrer une duplication privée temporaire afin de créer un emplacement pour d’autres discussions avec le contributeur. Cela ne modifie pas l’état de l’avis proposé à partir de Triage.

    • Acceptez le rapport de vulnérabilité en tant que brouillon d’avis sur GitHub, en cliquant sur Accepter et ouvrir en tant que brouillon. Si vous choisissez cette option :

      • Cela ne rend pas le rapport public.
      • Le rapport devient un brouillon d’avis de sécurité de dépôt et vous pouvez travailler dessus de la même façon que sur tout brouillon d’avis que vous créez. Pour plus d’informations sur les avis de sécurité, consultez « À propos des avis de sécurité des référentiels ».
    • Pour demander plus d’information ou pour ouvrir une discussion avec le signaleur, vous pouvez commenter l’avis. Les commentaires ne sont visibles que par le signaleur et par tous les collaborateurs sur l’avis.

    • Si vous disposez de suffisamment d’informations pour déterminer que le problème décrit par le signaleur n’est pas un risque pour la sécurité, cliquez sur Fermer l’avis de sécurité. Si possible, avant de fermer l’avis, vous devez ajouter un commentaire expliquant pourquoi vous ne considérez pas le rapport comme un risque pour la sécurité.

      Capture d’écran montrant les options disponibles pour le chargé de maintenance de dépôt lors de l’examen d’un rapport de vulnérabilité soumis en externe.