Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Настройка частных отчетов об уязвимостях для репозитория

Исправление и раскрытие уязвимости системы безопасности8 из 16 в схеме обучения
Следующая:Настройка частных отчетов об уязвимостях для организации

В этой статье

Владельцы и администраторы общедоступных репозиториев могут позволить исследователям безопасности безопасно сообщать об уязвимостях в репозитории, включив частные отчеты об уязвимостях.

Кто может использовать эту функцию

Anyone with admin permissions to a public repository can enable and disable private vulnerability reporting for the repository.

Сведения о конфиденциальном сообщении об уязвимости системы безопасности

Исследователи по безопасности часто чувствуют ответственность за оповещение пользователей об уязвимости, которую можно использовать. Если нет четких инструкций по обращению к специалистам по обслуживанию репозитория, содержащего уязвимость, у исследователей по безопасности не может быть другого выбора, кроме как опубликовать об уязвимости в социальных сетях, отправить прямые сообщения в службу поддержки или даже создать общедоступные проблемы. Такая ситуация потенциально может привести к раскрытию сведений об уязвимости.

Отчеты о частных уязвимостях упрощают для исследователей безопасности сообщать об уязвимостях напрямую с помощью простой формы.

Когда исследователь безопасности сообщает об уязвимости в частном порядке, вы получите уведомление и можете принять ее, задать дополнительные вопросы или отклонить ее. Если вы принимаете отчет, вы готовы к совместной работе над исправлением уязвимости в частном порядке с исследователем по безопасности.

Для обслуживающих пользователей преимущества использования частных отчетов об уязвимостях: - Меньше риска быть контактировать публично, или через нежелательные средства.

  • Получение отчетов на той же платформе, в которую вы их разрешаете для простоты
  • Исследователь безопасности создает или, по крайней мере, инициирует консультативный отчет от имени сотрудников службы поддержки.
  • Отчеты, обслуживающие службы, получают на той же платформе, что и для обсуждения и разрешения рекомендаций.
  • Уязвимость с меньшей вероятностью будет находиться в глазах общественности.
  • Возможность обсудить сведения об уязвимостях в частном порядке с исследователями по безопасности и совместно работать над исправлением.

Инструкции в этой статье относятся к включению на уровне репозитория. Сведения о включении функции на уровне организации см. в разделе Настройка частных отчетов об уязвимостях для организации.

Включение или отключение частных отчетов об уязвимостях для репозитория

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку Параметры.

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  2. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  3. В разделе "Безопасность и анализ кода" справа от раздела "Частные отчеты об уязвимостях" щелкните Включить или Отключить, чтобы включить или отключить эту функцию соответственно. Снимок экрана: страница "Безопасность и анализ кода" с параметром "Частные отчеты об уязвимостях". Кнопка "Включить" выделена темно-оранжевым цветом.

Если для репозитория включены частные отчеты об уязвимостях , исследователи по безопасности увидят новую кнопку на странице Рекомендации репозитория. Исследователь безопасности может нажать эту кнопку, чтобы в частном порядке сообщить об уязвимости безопасности в поддержку репозитория.

Снимок экрана: кнопка "Сообщить об уязвимости" для репозитория, в котором включены частные отчеты об уязвимостях

Исследователи безопасности также могут использовать REST API для частных отчетов об уязвимостях системы безопасности. Дополнительные сведения см. в разделе "Частный отчет об уязвимости системы безопасности" в документации по REST API.

ПредыдущийУправление обнаруженными в частном порядке уязвимостями системы безопасностиСледующаяНастройка частных отчетов об уязвимостях для организации