Примечание: Частные отчеты об уязвимостях в настоящее время находятся в бета-версии и могут быть изменены.
Владельцы и администраторы общедоступных репозиториев могут включить частные отчеты об уязвимостях в своих репозиториях. Дополнительные сведения см. в разделе Настройка частных отчетов об уязвимостях для репозитория.
Сведения о конфиденциальном сообщении об уязвимости системы безопасности
Исследователи по безопасности часто чувствуют ответственность за оповещение пользователей об уязвимости, которую можно использовать. Если нет четких инструкций по обращению к специалистам по обслуживанию репозитория, содержащего уязвимость, у исследователей по безопасности не может быть другого выбора, кроме как опубликовать об уязвимости в социальных сетях, отправить прямые сообщения в службу поддержки или даже создать общедоступные проблемы. Такая ситуация потенциально может привести к раскрытию сведений об уязвимости.
Частные отчеты об уязвимостях упрощают для исследователей безопасности сообщать об уязвимостях непосредственно в поддержку репозитория с помощью простой формы.
Для исследователей безопасности преимущества использования частных отчетов об уязвимостях:
- Меньше разочарования и меньше времени, затрачиваемого на попытку выяснить, как связаться с обслуживающим.
- Более плавный процесс раскрытия и обсуждения сведений об уязвимостях.
- Возможность обсудить сведения об уязвимостях в частном порядке с помощью службы поддержки репозитория.
Примечание: Если в репозитории не включены частные отчеты об уязвимостях, необходимо инициировать процесс создания отчетов, следуя инструкциям в политике безопасности для репозитория, или создать проблему, запросив у хранителей предпочтительный контакт по вопросам безопасности. Дополнительные сведения см. в разделе Сведения о скоординированном раскрытии информации об уязвимостях безопасности.
Конфиденциальное сообщение об уязвимости системы безопасности
Специалисты по безопасности могут в частном порядке сообщать об уязвимости безопасности службам поддержки репозитория.
-
На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность.
-
Щелкните Сообщить об уязвимости , чтобы открыть форму рекомендаций.
-
Заполните форму сведений о рекомендациях.
Совет: В этой форме обязательны только заголовок и описание. (В общей форме рекомендаций по безопасности проекта, которую инициирует владелец репозитория, также требуется указать экосистему.) Тем не менее, мы рекомендуем исследователям безопасности предоставлять как можно больше сведений о форме, чтобы специалисты по поддержке могли принять обоснованное решение об отправленном отчете. Вы можете использовать шаблон, используемый нашими исследователями по безопасности, из GitHub Security Lab, который доступен в репозитории
github/securitylab".Дополнительные сведения о доступных полях и рекомендации по заполнению формы см. в разделах Создание рекомендаций по безопасности репозитория и Рекомендации по написанию рекомендаций по безопасности репозитория.
-
В нижней части формы щелкните Отправить отчет. GitHub отобразит сообщение о том, что обслуживающие организации были уведомлены и что у вас есть ожидающий кредит для этих рекомендаций по безопасности.
Совет: При отправке отчета GitHub автоматически добавляет репортера об уязвимости в качестве участника совместной работы и в качестве зачисленного пользователя в предложенные рекомендации.
-
При необходимости нажмите кнопку Запустить временную частную вилку, чтобы устранить проблему. Обратите внимание, что только обслуживающий репозиторий может объединять изменения из этой частной вилки в родительский репозиторий.
Дальнейшие действия зависят от действий, выполненных обслуживателем репозитория. Дополнительные сведения см. в разделе Управление обнаруженными в частном порядке уязвимостями системы безопасности.