Skip to main content

Configurar relatórios privados de vulnerabilidades em uma organização

Os proprietários da organização e os gerentes de segurança podem permitir que os pesquisadores de segurança relatem vulnerabilidades com segurança em repositórios dentro da organização habilitando relatórios privados de vulnerabilidade para todos os seus repositórios públicos.

Quem pode usar esse recurso?

Anyone with admin permissions to an organization, or with a security manager role within the organization, can enable and disable private vulnerability reporting for that organization.

Sobre os relatórios privados de uma vulnerabilidade de segurança

Os pesquisadores de segurança costumam se sentir responsáveis por alertar os usuários sobre uma vulnerabilidade que pode ser explorada. Se não houver nenhuma instrução clara sobre como entrar em contato com os mantenedores do repositório que contém a vulnerabilidade, talvez os pesquisadores de segurança não tenham outra opção a não ser postar um comunicado sobre a vulnerabilidade nas mídias sociais, enviar mensagens diretas para o mantenedor ou até criar problemas públicos. Essa situação pode potencialmente levar a uma divulgação pública dos detalhes da vulnerabilidade.

Com o relatório privado de vulnerabilidades, os pesquisadores de segurança podem relatar vulnerabilidades diretamente a você de um jeito fácil usando um formulário simples.

Quando um pesquisador de segurança relata uma vulnerabilidade de maneira privada, você é notificado e pode optar por aceitá-la, fazer mais perguntas ou rejeitá-la. Se você aceitar o relatório, isso indicará que você está pronto para colaborar com o pesquisador de segurança de modo privado em uma correção da vulnerabilidade especificada.

Para proprietários de organização e gerentes de segurança, os benefícios de usar relatórios privados de vulnerabilidade são: * Menos risco de ser contatado publicamente ou por meios indesejados.

  • Receber os relatórios na mesma plataforma em que você os resolve para simplificação
  • O pesquisador de segurança cria ou, pelo menos, inicia o relatório consultivo em nome dos mantenedores.
  • Os mantenedores recebem os relatórios na mesma plataforma que aquela usada para discutir e resolver os avisos.
  • Vulnerabilidade menos provável de estar exposta ao público.
  • A oportunidade de discutir os detalhes de uma vulnerabilidade em particular com os pesquisadores de segurança e colaborar no patch.

As instruções abaixo referem-se à habilitação no nível da organização. Para saber mais sobre como habilitar o recurso para um repositório, confira "Como configurar relatórios privados de vulnerabilidades em um repositório".

Quando uma nova vulnerabilidade é relatada privadamente em um repositório em que os relatórios de vulnerabilidades privadas estão habilitados, o GitHub notifica os mantenedores de repositório e os gerentes de segurança se:

  • Eles estão observando o repositório para todas as atividades.
  • Eles têm notificações habilitadas para o repositório.

Para obter mais informações sobre como configurar as preferências de notificação, confira "Como configurar relatórios privados de vulnerabilidades em um repositório".

Habilitar ou desabilitar relatórios privados de vulnerabilidade para todos os repositórios públicos existentes em uma organização

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

Note

Se sua organização estiver inscrita no beta público do security configurations e do global settings, em vez de "Segurança e análise de código", você verá um menu suspenso "Segurança de código". Selecione Segurança de código e clique em Configurações globais. Para as próximas etapas sobre como habilitar o relatório de vulnerabilidade privada e outros recursos de segurança em escala com o security configurations, consulte o "Aplicação da configuração de segurança recomendada pelo GitHub em sua organização".

  1. Em "Segurança e análise de código", à direita de "Relatórios privados de vulnerabilidades", clique em Habilitar tudo ou Desabilitar tudo, para habilitar ou desabilitar o recurso para todos os repositórios públicos na organização, respectivamente.
    Captura de tela da página "Segurança e análise de código" com os botões "Habilitar tudo" e "Desabilitar tudo" realçados para relatórios privados de vulnerabilidades.

Habilitar ou desabilitar relatórios privados de vulnerabilidade para novos repositórios públicos adicionados à organização

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

Note

Se sua organização estiver inscrita no beta público do security configurations e do global settings, em vez de "Segurança e análise de código", você verá um menu suspenso "Segurança de código". Selecione Segurança de código e clique em Configurações globais. Para as próximas etapas sobre como definir uma security configuration padrão para novos repositórios públicos que permitirão automaticamente o relatório de vulnerabilidades privadas, consulte "Aplicação da configuração de segurança recomendada pelo GitHub em sua organização".

  1. Em "Segurança e análise de código", à direita do recurso, clique em Habilitar automaticamente para novos repositórios públicos.

    Captura de tela da página "Segurança e análise de código" com a caixa de seleção "Habilitar automaticamente para novos repositórios públicos" realçada para relatórios privados de vulnerabilidades.

  2. À direita de "Relatórios privados de vulnerabilidade", clique em Habilitar tudo ou Desabilitar tudo, para habilitar ou desabilitar o recurso para todos os novos repositórios públicos que serão adicionados à organização, respectivamente.

Como é ter relatórios privados de vulnerabilidade habilitados para um repositório para um pesquisador de segurança

Quando o relatório privado de vulnerabilidade for habilitado em um repositório, os pesquisadores de segurança verão um novo botão na página Avisos do repositório. O pesquisador de segurança pode clicar nesse botão para relatar uma vulnerabilidade de segurança de maneira particular ao mantenedor do repositório.

Captura de tela mostrando o botão "Relatar uma vulnerabilidade" para um repositório em que o relatório privado de vulnerabilidades foi habilitado.

Os pesquisadores de segurança também podem usar a API REST para relatar vulnerabilidades de segurança de forma privada. Para saber mais, confira "Relatar de maneira privada uma vulnerabilidade de segurança".