Skip to main content

Gerenciar vulnerabilidades de segurança relatadas privadamente

Os responsáveis pela manutenção do repositório podem gerenciar vulnerabilidades de segurança relatadas de maneira privada por pesquisadores de segurança com relação a repositórios em que há relatórios privados de vulnerabilidade habilitados.

Quem pode usar esse recurso?

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Proprietários e administradores de repositórios públicos podem habilitar relatórios de vulnerabilidades privados nos respectivos repositórios. Para obter mais informações, confira "Como configurar relatórios privados de vulnerabilidades em um repositório".

Sobre os relatórios privados de uma vulnerabilidade de segurança

Com o relatório privado de vulnerabilidades, os pesquisadores de segurança têm uma maneira mais fácil de relatar vulnerabilidades diretamente a você usando um formulário simples.

Quando um pesquisador de segurança relata uma vulnerabilidade de maneira privada, você é notificado e pode optar por aceitá-la, fazer mais perguntas ou rejeitá-la. Se você aceitar o relatório, isso indicará que você está pronto para colaborar com o pesquisador de segurança em uma correção da vulnerabilidade especificada.

Gerenciar vulnerabilidades de segurança relatadas de maneira privada

Quando uma nova vulnerabilidade é relatada privadamente em um repositório em que os relatórios de vulnerabilidades privadas estão habilitados, o GitHub notifica os mantenedores de repositório e os gerentes de segurança se:

  • Eles estão observando o repositório para todas as atividades.
  • Eles têm notificações habilitadas para o repositório.

Para saber mais sobre como configurar as preferências de notificação, confira Como configurar relatórios privados de vulnerabilidades em um repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral esquerda, em "Relatórios", clique em Avisos.

  4. Clique no aviso que você deseja examinar. Um aviso que foi relatado em particular tem um status de Triage.

    Captura de tela de uma lista de "Avisos de Segurança".

  5. Examine cuidadosamente o relatório e escolha como proceder.

    • Para colaborar em um patch em particular, clique em Iniciar um fork privado temporário para criar um local para discussões adicionais com o colaborador. Isso não altera o status do aviso proposto de Triage.

    • Para aceitar a vulnerabilidade relatada, clique em Aceitar e abrir como rascunho para aceitar o relatório de vulnerabilidade como um rascunho de aviso no GitHub. Se você escolher essa opção:

      • Isso não tornará o relatório público.
      • O relatório se tornará um rascunho de aviso de segurança de repositório e será possível trabalhar nele da mesma forma que em qualquer rascunho de aviso que você criar. Para saber mais sobre avisos de segurança, confira Sobre os avisos de segurança do repositório.
    • Para solicitar mais informações ou para abrir uma discussão com o relator, comente sobre o aviso. Todos os comentários são visíveis apenas para o relator e para todos os colaboradores no aviso.

    • Se você tiver informações suficientes para determinar que o problema descrito pelo relator não é um risco à segurança, clique em Fechar aviso de segurança. Sempre que possível, antes de fechar o aviso, adicione um comentário explicando por que não considera o relatório um risco de segurança.

      Captura de tela mostrando as opções disponíveis para o administrador do repositório ao examinar um relatório de vulnerabilidade enviado externamente