Владельцы и администраторы общедоступных репозиториев могут включить частные отчеты об уязвимостях в своих репозиториях. Дополнительные сведения см. в разделе Настройка частных отчетов об уязвимостях для репозитория.
Примечание: Если у вас есть разрешения администратора или безопасности для общедоступный репозиторий, вам не нужно отправлять отчет об уязвимостях. Вместо этого можно создать черновик рекомендаций по безопасности напрямую. Дополнительные сведения см. в разделе Создание рекомендаций по безопасности репозитория.
Сведения о конфиденциальном сообщении об уязвимости системы безопасности
Исследователи по безопасности часто чувствуют ответственность за оповещение пользователей об уязвимости, которую можно использовать. Если нет четких инструкций по обращению к специалистам по обслуживанию репозитория, содержащего уязвимость, у исследователей по безопасности не может быть другого выбора, кроме как опубликовать об уязвимости в социальных сетях, отправить прямые сообщения в службу поддержки или даже создать общедоступные проблемы. Такая ситуация потенциально может привести к раскрытию сведений об уязвимости.
Частные отчеты об уязвимостях упрощают для исследователей безопасности сообщать об уязвимостях непосредственно ответственный за репозиторий с помощью простой формы.
Для исследователей безопасности преимущества использования частных отчетов об уязвимостях:
- Меньше разочарования и меньше времени, затрачиваемого на попытку выяснить, как связаться с обслуживающим.
- Более плавный процесс раскрытия и обсуждения сведений об уязвимостях.
- Возможность обсудить сведения об уязвимостях в частном порядке с ответственный за репозиторий.
Примечание: Если в репозитории не включены частные отчеты об уязвимостях, необходимо инициировать процесс создания отчетов, следуя инструкциям в политике безопасности для репозитория, или создать проблему, запросив у хранителей предпочтительный контакт по вопросам безопасности. Дополнительные сведения см. в разделе Сведения о скоординированном раскрытии информации об уязвимостях безопасности.
Конфиденциальное сообщение об уязвимости системы безопасности
Если у вас нет разрешений администратора или безопасности для общедоступный репозиторий, вы по-прежнему можете в частном порядке сообщить об уязвимости системы безопасности администраторам репозитория. Вы также можете оценить общую безопасность общедоступный репозиторий и предложить политику безопасности. Дополнительные сведения см. в разделе Оценка параметров безопасности репозитория.
-
На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность.
-
Щелкните Сообщить об уязвимости , чтобы открыть форму рекомендаций.
-
Заполните форму сведений о рекомендациях.
Совет: В этой форме обязательны только заголовок и описание. (В общей форме с черновиком рекомендаций по безопасности, которую инициирует ответственный за репозиторий, также требуется указание экосистемы.) Тем не менее, мы рекомендуем исследователям по безопасности предоставлять как можно больше сведений о форме, чтобы специалисты могли принять обоснованное решение о отправленном отчете. Вы можете использовать шаблон, используемый нашими исследователями по безопасности, из GitHub Security Lab, который доступен в репозитории
github/securitylab
".Дополнительные сведения о доступных полях и рекомендации по заполнению формы см. в разделах Создание рекомендаций по безопасности репозитория и Рекомендации по написанию рекомендаций по безопасности репозитория.
-
В нижней части формы щелкните Отправить отчет. GitHub отобразит сообщение о том, что обслуживающие службы получили уведомления и что у вас есть ожидающий кредит для этих рекомендаций по безопасности.
Совет: При отправке отчета GitHub автоматически добавляет отчет об уязвимости в качестве участника совместной работы и пользователя в качестве зачетного пользователя в предлагаемых рекомендациях.
-
При необходимости нажмите кнопку Запустить временную частную вилку , чтобы устранить проблему. Обратите внимание, что только ответственный за репозиторий может объединять изменения из этой частной вилки в родительский репозиторий.
Дальнейшие действия зависят от действий, выполненных ответственный за репозиторий. Дополнительные сведения см. в разделе Управление обнаруженными в частном порядке уязвимостями системы безопасности.