Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Управление обнаруженными в частном порядке уязвимостями системы безопасности

В этой статье

Хранители репозиториев могут управлять уязвимостями системы безопасности, о которых им сообщили частные службы безопасности для репозиториев, в которых включены частные отчеты об уязвимостях.

Кто может использовать эту функцию

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Примечание: Частные отчеты об уязвимостях в настоящее время находятся в бета-версии и могут быть изменены.

Владельцы и администраторы общедоступных репозиториев могут включить частные отчеты об уязвимостях в своих репозиториях. Дополнительные сведения см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

Сведения о конфиденциальном сообщении об уязвимости системы безопасности

Отчеты о частных уязвимостях позволяют исследователям безопасности сообщать об уязвимостях непосредственно с помощью простой формы.

Когда исследователь по безопасности сообщает об уязвимости в частном порядке, вы получите уведомление и можете принять ее, задать дополнительные вопросы или отклонить ее. Если вы принимаете отчет, вы готовы к совместной работе над исправлением уязвимости в частном порядке с исследователем по безопасности.

Управление уязвимостями системы безопасности, о которых сообщается в частном порядке

GitHub уведомляет пользователей репозитория, когда исследователи безопасности в частном порядке сообщают об уязвимостях в своем репозитории, и отправляет уведомления, если хранители наблюдают за репозиторием или если для него включены уведомления. Дополнительные сведения см. в разделе Настройка уведомлений.

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность. Снимок экрана: заголовок репозитория с вкладками. Вкладка "Безопасность" выделена темно-оранжевым контуром. 1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации.

  2. Щелкните рекомендацию, которую вы хотите просмотреть. Рекомендация, о чем сообщалось в частном порядке, имеет состояние Triage.

    Снимок экрана: список рекомендаций по безопасности.

  3. Внимательно просмотрите отчет, а затем выберите, как продолжить.

    • Для совместной работы над исправлением в частном режиме нажмите кнопку Начать временную частную вилку , чтобы создать место для дальнейших обсуждений с участником. Это не изменяет состояние предлагаемых рекомендаций с Triage.

    • Чтобы принять обнаруженную уязвимость, нажмите кнопку Принять и открыть как черновик , чтобы принять отчет об уязвимостях в качестве проекта рекомендаций по GitHub. При выборе этого параметра:

      • Это не делает отчет общедоступным.
      • Отчет становится проектом рекомендаций по безопасности репозитория, и вы можете работать с ним так же, как и с любым проектом рекомендаций, которые вы создаете. Дополнительные сведения о рекомендациях по безопасности см. в разделе Сведения о рекомендациях по безопасности репозитория.

    • Чтобы запросить дополнительную информацию или начать обсуждение с репортером, вы можете прокомментировать рекомендации. Любые комментарии видны только репортеру и любым участникам работы над советом.

    • Если у вас достаточно информации, чтобы определить, что проблема, описываемая репортером, не является угрозой безопасности, нажмите кнопку Закрыть советы по безопасности. По возможности следует добавить комментарий, объясняющий, почему вы не считаете отчет угрозой безопасности, прежде чем закрывать рекомендации.

      Снимок экрана: параметры, доступные для ведения репозитория при просмотре отчета об уязвимостях, отправленного извне.