Skip to main content

Конфиденциальное сообщение об уязвимости системы безопасности

Некоторые общедоступные репозитории настраивают рекомендации по безопасности, чтобы любой пользователь мог напрямую и в частном порядке сообщать об уязвимостях системы безопасности.

Примечание: Частные отчеты об уязвимостях в настоящее время находятся в бета-версии и могут быть изменены.

Владельцы и администраторы общедоступных репозиториев могут включить частные отчеты об уязвимостях в своих репозиториях. Дополнительные сведения см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

Сведения о конфиденциальном сообщении об уязвимости системы безопасности

Исследователи по безопасности часто чувствуют ответственность за оповещение пользователей об уязвимости, которую можно использовать. Если нет четких инструкций по обращению к специалистам по обслуживанию репозитория, содержащего уязвимость, у исследователей по безопасности не может быть другого выбора, кроме как опубликовать об уязвимости в социальных сетях, отправить прямые сообщения в службу поддержки или даже создать общедоступные проблемы. Такая ситуация потенциально может привести к раскрытию сведений об уязвимости.

Частные отчеты об уязвимостях упрощают для исследователей безопасности сообщать об уязвимостях непосредственно в поддержку репозитория с помощью простой формы.

Для исследователей безопасности преимущества использования частных отчетов об уязвимостях:

  • Меньше разочарования и меньше времени, затрачиваемого на попытку выяснить, как связаться с обслуживающим.
  • Более плавный процесс раскрытия и обсуждения сведений об уязвимостях.
  • Возможность обсудить сведения об уязвимостях в частном порядке с помощью службы поддержки репозитория.

Примечание: Если в репозитории не включены частные отчеты об уязвимостях, необходимо инициировать процесс создания отчетов, следуя инструкциям в политике безопасности для репозитория, или создать проблему, запросив у хранителей предпочтительный контакт по вопросам безопасности. Дополнительные сведения см. в разделе Сведения о скоординированных раскрытиях уязвимостей системы безопасности.

Конфиденциальное сообщение об уязвимости системы безопасности

Специалисты по безопасности могут в частном порядке сообщать об уязвимости безопасности службам поддержки репозитория.

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Security. Вкладка "Безопасность" 1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации. Вкладка "Рекомендации по безопасности"

  2. Щелкните Сообщить об уязвимости , чтобы открыть форму рекомендаций.

    Снимок экрана: кнопка "Сообщить об уязвимости"

  3. Заполните форму сведений о рекомендациях.

    Совет: В этой форме обязательны только заголовок и описание. (В общей форме рекомендаций по безопасности проекта, которую инициирует владелец репозитория, также требуется указать экосистему.) Тем не менее, мы рекомендуем исследователям безопасности предоставлять как можно больше сведений о форме, чтобы специалисты по поддержке могли принять обоснованное решение об отправленном отчете. Вы можете использовать шаблон, используемый нашими исследователями по безопасности, из GitHub Security Lab, который доступен в репозиторииgithub/securitylab".

    Дополнительные сведения о доступных полях и рекомендации по заполнению формы см. в разделах Создание рекомендаций по безопасности репозитория и Рекомендации по написанию рекомендаций по безопасности репозитория.

  4. В нижней части формы щелкните Отправить отчет. GitHub отобразит сообщение о том, что обслуживающие организации были уведомлены и что у вас есть ожидающий кредит для этих рекомендаций по безопасности.

    Снимок экрана: кнопка "Отправить отчет"

    Совет: При отправке отчета GitHub автоматически добавляет репортера об уязвимости в качестве участника совместной работы и в качестве зачисленного пользователя в предложенные рекомендации.

  5. При необходимости нажмите кнопку Запустить временную частную вилку, чтобы устранить проблему. Обратите внимание, что только поддержку репозитория может объединить частную вилку.

    Снимок экрана: кнопка "Запустить временную вилку"

Дальнейшие действия зависят от действий, выполненных обслуживателем репозитория. Дополнительные сведения см. в разделе Управление обнаруженными в частном порядке уязвимостями системы безопасности.