Сведения о политиках безопасности
Чтобы предоставить пользователям инструкции по отправке отчетов об уязвимостях в проекте, можно добавить файл SECURITY.md в корневой каталог репозитория, папку docs
или .github
. Когда кто-то создает проблему в репозитории, он увидит ссылку на политику безопасности вашего проекта.
Можно создать политику безопасности по умолчанию для организации или личной учетной записи. Дополнительные сведения см. в разделе Создание файла работоспособности сообщества по умолчанию..
Совет. Чтобы пользователи могли легко найти политику безопасности, можно указать ссылку на файл SECURITY.md из других мест в репозитории, например в файле README. Дополнительные сведения см. в разделе Сведения о файлах сведений.
Когда кто-то сообщает об уязвимости в проекте, вы можете использовать GitHub Security Advisories, чтобы раскрыть и публиковать сведения об уязвимости, а также устранить ее саму. Дополнительные сведения о процессе создания отчетов и раскрытия уязвимостей в GitHub см. в разделе Сведения о скоординированном раскрытии информации об уязвимостях безопасности. Дополнительные сведения о рекомендациях по безопасности репозитория см. в разделе Сведения о рекомендациях по безопасности репозитория.
Вы также можете присоединить GitHub Security Lab для просмотра тем, связанных с безопасностью, и внести свой вклад в средства безопасности и проекты.
Добавление политики безопасности в репозиторий
- На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность.
- На левой боковой панели щелкните Политика безопасности.
- Нажмите кнопку Запуск установки.
- В новом файле SECURITY.md добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.
- В нижней части страницы введите короткое понятное сообщение о фиксации, описывающее внесенное в файл изменение. В таком сообщении фиксацию можно отнести к нескольким авторам. Дополнительные сведения см. в разделе Создание фиксации с несколькими авторами.
- Если у вас есть несколько адресов электронной почты, связанных с вашей учетной записью в GitHub.com, щелкните раскрывающееся меню адрес электронной почты и выберите адрес электронной почты, который будет использоваться в качестве адреса электронной почты автора Git. В этом раскрывающемся меню отображаются только проверенные адреса электронной почты. Если вы включили сохранение конфиденциальности адресов электронной почты, то по умолчанию используется адрес электронной почты автора фиксации
<username>@users.noreply.github.com
. Дополнительные сведения см. в разделе Указание адреса электронной почты для фиксаций. 1. Под полями сообщения о фиксации укажите, куда следует добавить фиксацию: в текущую ветвь или в новую. Если текущей ветвью является ветвь по умолчанию, нужно создать новую ветвь для фиксации, а затем создать запрос на вытягивание. Дополнительные сведения см. в разделе Создание запроса на включение изменений. 1. Щелкните Предложить изменение файла.