Конфиденциальное сообщение об уязвимости системы безопасности

Владельцы и администраторы общедоступных репозиториев могут включить частные отчеты об уязвимостях в своих репозиториях. Дополнительные сведения см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

Сведения о конфиденциальном сообщении об уязвимости системы безопасности

Исследователи по безопасности часто чувствуют ответственность за оповещение пользователей об уязвимости, которую можно использовать. Если нет четких инструкций по обращению к специалистам по обслуживанию репозитория, содержащего уязвимость, у исследователей по безопасности не может быть другого выбора, кроме как опубликовать об уязвимости в социальных сетях, отправить прямые сообщения в службу поддержки или даже создать общедоступные проблемы. Такая ситуация потенциально может привести к раскрытию сведений об уязвимости.

Частные отчеты об уязвимостях упрощают для исследователей безопасности сообщать об уязвимостях непосредственно ответственный за репозиторий с помощью простой формы.

Для исследователей безопасности преимущества использования частных отчетов об уязвимостях:

• Меньше разочарования и меньше времени, затрачиваемого на попытку выяснить, как связаться с обслуживающим.
• Более плавный процесс раскрытия и обсуждения сведений об уязвимостях.
• Возможность обсудить сведения об уязвимостях в частном порядке с ответственный за репозиторий.

Конфиденциальное сообщение об уязвимости системы безопасности

Если у вас нет разрешений администратора или безопасности для общедоступный репозиторий, вы по-прежнему можете в частном порядке сообщить об уязвимости системы безопасности администраторам репозитория. Вы также можете оценить общую безопасность общедоступный репозиторий и предложить политику безопасности. Дополнительные сведения см. в разделе Оценка параметров безопасности репозитория.

1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность.

2. Щелкните Сообщить об уязвимости , чтобы открыть форму рекомендаций.

3. Заполните форму сведений о рекомендациях.

   Совет: В этой форме обязательны только заголовок и описание. (В общей форме с черновиком рекомендаций по безопасности, которую инициирует ответственный за репозиторий, также требуется указание экосистемы.) Тем не менее, мы рекомендуем исследователям по безопасности предоставлять как можно больше сведений о форме, чтобы специалисты могли принять обоснованное решение о отправленном отчете. Вы можете использовать шаблон, используемый нашими исследователями по безопасности, из GitHub Security Lab, который доступен в репозиторииgithub/securitylab".

   Дополнительные сведения о доступных полях и рекомендации по заполнению формы см. в разделах Создание рекомендаций по безопасности репозитория и Рекомендации по написанию рекомендаций по безопасности репозитория.

4. В нижней части формы щелкните Отправить отчет. GitHub отобразит сообщение о том, что обслуживающие службы получили уведомления и что у вас есть ожидающий кредит для этих рекомендаций по безопасности.

   Совет: При отправке отчета GitHub автоматически добавляет отчет об уязвимости в качестве участника совместной работы и пользователя в качестве зачетного пользователя в предлагаемых рекомендациях.

5. При необходимости нажмите кнопку Запустить временную частную вилку , чтобы устранить проблему. Обратите внимание, что только ответственный за репозиторий может объединять изменения из этой частной вилки в родительский репозиторий.

   

Дальнейшие действия зависят от действий, выполненных ответственный за репозиторий. Дополнительные сведения см. в разделе Управление обнаруженными в частном порядке уязвимостями системы безопасности.