Como configurar relatórios privados de vulnerabilidades em um repositório

Os proprietários e os administradores de repositórios públicos podem permitir que os pesquisadores de segurança relatem as vulnerabilidades com segurança no repositório habilitando os relatórios privados de vulnerabilidades.

Quem pode usar esse recurso?

Anyone with admin permissions to a public repository can enable and disable private vulnerability reporting for the repository.

Corrigir e revelar uma vulnerabilidade de segurança

8 de 16 no roteiro de aprendizagem
Avançar:Configurar relatórios privados de vulnerabilidades em uma organização

Neste artigo

Sobre os relatórios privados de uma vulnerabilidade de segurança

Os pesquisadores de segurança costumam se sentir responsáveis por alertar os usuários sobre uma vulnerabilidade que pode ser explorada. Se não houver nenhuma instrução clara sobre como entrar em contato com os mantenedores do repositório que contém a vulnerabilidade, talvez os pesquisadores de segurança não tenham outra opção a não ser postar um comunicado sobre a vulnerabilidade nas mídias sociais, enviar mensagens diretas para o mantenedor ou até criar problemas públicos. Essa situação pode potencialmente levar a uma divulgação pública dos detalhes da vulnerabilidade.

Com o relatório privado de vulnerabilidades, os pesquisadores de segurança podem relatar vulnerabilidades diretamente a você de um jeito fácil usando um formulário simples.

Quando um pesquisador de segurança relata uma vulnerabilidade de maneira privada, você é notificado e pode optar por aceitá-la, fazer mais perguntas ou rejeitá-la. Se você aceitar o relatório, isso indicará que você está pronto para colaborar com o pesquisador de segurança de modo privado em uma correção da vulnerabilidade especificada.

Para mantenedores, os benefícios de usar relatórios de vulnerabilidade privada são: - Menos risco de ser contatado publicamente ou por meios indesejados.

  • Receber os relatórios na mesma plataforma em que você os resolve para simplificação
  • O pesquisador de segurança cria ou, pelo menos, inicia o relatório consultivo em nome dos mantenedores.
  • Os mantenedores recebem os relatórios na mesma plataforma que aquela usada para discutir e resolver os avisos.
  • Vulnerabilidade menos provável de estar exposta ao público.
  • A oportunidade de discutir os detalhes de uma vulnerabilidade em particular com os pesquisadores de segurança e colaborar no patch.

As instruções neste artigo referem-se à habilitação no nível do repositório. Para obter informações sobre como habilitar o recurso no nível da organização, confira "Configurar relatórios privados de vulnerabilidades em uma organização".

Como habilitar ou desabilitar relatórios privados de vulnerabilidades em um repositório

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Em "Segurança e análise de código", à direita de "Relatórios privados de vulnerabilidades", clique em Habilitar ou Desabilitar, para habilitar ou desabilitar o recurso, respectivamente.

    Captura de tela da página "Segurança e análise de código", mostrando a configuração "Relatório de vulnerabilidades privadas". O botão "Habilitar" está contornado em laranja escuro.

Quando o relatório privado de vulnerabilidade for habilitado em um repositório, os pesquisadores de segurança verão um novo botão na página Avisos do repositório. O pesquisador de segurança pode clicar nesse botão para relatar uma vulnerabilidade de segurança de maneira particular ao mantenedor do repositório.

Captura de tela mostrando o botão "Relatar uma vulnerabilidade" para um repositório em que o relatório privado de vulnerabilidades foi habilitado.

Os pesquisadores de segurança também podem usar a API REST para relatar vulnerabilidades de segurança de forma privada. Para saber mais, confira "Relatar de maneira privada uma vulnerabilidade de segurança".

Configurando notificações para relatórios de vulnerabilidades privadas

Quando uma nova vulnerabilidade é relatada privadamente em um repositório em que os relatórios de vulnerabilidades privadas estão habilitados, o GitHub Enterprise Cloud notifica os mantenedores de repositório e os gerentes de segurança se:

  • Eles estão observando o repositório para todas as atividades.
  • Eles têm notificações habilitadas para o repositório.

As notificações dependem das preferências de notificação do usuário. Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Você habilitou as notificações para "Todas as Atividades".
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e em "Inspeção", a opção para receber notificações por email.

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Para começar a inspecionar o repositório, selecione Inspecionar.

    Captura de tela da página principal do repositório. Um menu suspenso, intitulado "Assistir", é realçado com um contorno em laranja.

  3. No menu suspenso, clique em Todas as atividades.

  4. Acesse as configurações de notificação da sua conta pessoal. Elas estão disponíveis em https://github.com/settings/notifications.

  5. Na página de configurações de notificação, em "Assinaturas" e em "Inspeção", selecione o menu suspenso Notificar-me.

  6. Selecione "Email" como uma opção de notificação e clique em Salvar.

    Captura de tela das configurações de notificação de uma conta de usuário. Um cabeçalho de elemento, intitulado "Assinaturas", e um subcabeçalho, intitulado "Inspeção", são mostrados. Uma caixa de seleção, intitulada "Email", é realçada com um contorno em laranja.

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

AnteriorGerenciar vulnerabilidades de segurança relatadas privadamenteAvançarConfigurar relatórios privados de vulnerabilidades em uma organização