Observação: o relatório privado de vulnerabilidades está em versão beta e sujeito a alterações no momento.
Proprietários e administradores de repositórios públicos podem habilitar relatórios de vulnerabilidades privados nos respectivos repositórios. Para saber mais, confira "Como configurar relatórios privados de vulnerabilidades em um repositório".
Sobre os relatórios privados de uma vulnerabilidade de segurança
Com o relatório privado de vulnerabilidades, os pesquisadores de segurança têm uma maneira mais fácil de relatar vulnerabilidades diretamente a você usando um formulário simples.
Quando um pesquisador de segurança relata uma vulnerabilidade de maneira privada, você é notificado e pode optar por aceitá-la, fazer mais perguntas ou rejeitá-la. Se você aceitar o relatório, isso indicará que você está pronto para colaborar com o pesquisador de segurança em uma correção da vulnerabilidade especificada.
Gerenciar vulnerabilidades de segurança relatadas de maneira privada
O GitHub notifica os responsáveis pela manutenção dos repositórios quando pesquisadores de segurança relatam vulnerabilidades privadamente em seus repositórios e envia notificações quando os responsáveis pela manutenção observam o repositório ou têm notificações habilitadas para ele. Para obter mais informações, confira "Como configurar notificações".
-
No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança.
1. Na barra lateral esquerda, em "Relatório", clique em Avisos.
-
Clique no aviso que você deseja examinar. Um aviso relatado de maneira privada terá um status
Needs triage
. -
Examine cuidadosamente o relatório. Você pode:
-
Colabore em particular com o pesquisador de segurança em um patch clicando em Iniciar um fork privado temporário. Isso fornece um lugar para discussões adicionais com o colaborador sem alterar o status
Needs triage
do aviso proposto. -
Aceite o relatório de vulnerabilidade como um rascunho de aviso no GitHub clicando em Aceitar e abrir como rascunho. Se você escolher essa opção:
- Isso não tornará o relatório público.
- O relatório se tornará um rascunho de aviso de segurança de repositório e será possível trabalhar nele da mesma forma que em qualquer rascunho de aviso que você criar. Para saber mais sobre avisos de segurança, confira "Sobre os avisos de segurança de repositório".
-
Rejeite o relatório clicando em Fechar aviso de segurança. Sempre que possível, antes de fechar o aviso, adicione um comentário explicando por que não considera o relatório um risco de segurança.
-