Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Настройка частных отчетов об уязвимостях для организации

Исправление и раскрытие уязвимости системы безопасности9 из 16 в схеме обучения
Следующая:Создание рекомендаций по безопасности репозитория

В этой статье

Владельцы организации и менеджеры по безопасности могут разрешить исследователям безопасности безопасно сообщать об уязвимостях в репозиториях в организации, включив частные отчеты об уязвимостях для всех ее общедоступных репозиториев.

Кто может использовать эту функцию

Anyone with admin permissions to an organization, or with a security manager role within the organization, can enable and disable private vulnerability reporting for that organization.

Сведения о конфиденциальном сообщении об уязвимости системы безопасности

Исследователи безопасности часто чувствуют ответственность за оповещение пользователей об уязвимости, которую можно использовать. Если нет четких инструкций по обращению к специалистам по обслуживанию репозитория, содержащего уязвимость, у исследователей по безопасности может не быть другого выбора, кроме как опубликовать об уязвимости в социальных сетях, отправить прямые сообщения в службу поддержки или даже создать общедоступные проблемы. Такая ситуация может привести к публичному раскрытию сведений об уязвимости.

Отчеты о частных уязвимостях упрощают для исследователей безопасности сообщать об уязвимостях напрямую с помощью простой формы.

Когда исследователь безопасности сообщает об уязвимости в частном порядке, вы получите уведомление и можете принять ее, задать дополнительные вопросы или отклонить ее. Если вы принимаете отчет, вы готовы к совместной работе над исправлением уязвимости в частном порядке с исследователем по безопасности.

Для владельцев организации и менеджеров по безопасности преимущества использования частных отчетов об уязвимостях: - Меньше риска быть контактировать публично, или через нежелательные средства.

  • Получение отчетов на той же платформе, в которую вы их разрешаете для простоты
  • Исследователь безопасности создает или, по крайней мере, инициирует консультативный отчет от имени сотрудников службы поддержки.
  • Отчеты, обслуживающие службы, получают на той же платформе, что и для обсуждения и разрешения рекомендаций.
  • Уязвимость с меньшей вероятностью будет находиться в глазах общественности.
  • Возможность обсудить сведения об уязвимостях в частном порядке с исследователями по безопасности и совместно работать над исправлением.

Приведенные ниже инструкции относятся к включению на уровне организации. Сведения о включении функции для репозитория см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

Когда новая уязвимость сообщается в частном порядке в репозитории, где включены отчеты о частных уязвимостях, GitHub Enterprise Cloud уведомляет поддержку репозитория и менеджеров безопасности, если:

  • Они следят за репозиторием для всех действий.
  • Для репозитория включены уведомления.

Дополнительные сведения о настройке параметров уведомлений см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

Включение или отключение частных отчетов об уязвимостях для всех существующих общедоступных репозиториев в организации

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню под @octocatизображением профиля. "Ваши организации" выделены темно-оранжевым цветом. 2. Рядом с организацией щелкните Параметры.

  2. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  3. В разделе "Безопасность и анализ кода" справа от раздела "Частные отчеты об уязвимостях" щелкните Включить все или Отключить все, чтобы включить или отключить функцию для всех общедоступных репозиториев в организации соответственно. Снимок экрана: страница "Безопасность и анализ кода" с выделенным элементом "Отключить все" и кнопкой "Включить все" для частных отчетов об уязвимостях

Включение или отключение частных отчетов об уязвимостях для новых общедоступных репозиториев, добавленных в организацию

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню под @octocatизображением профиля. "Ваши организации" выделены темно-оранжевым цветом. 2. Рядом с организацией щелкните Параметры.

  2. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  3. В разделе "Безопасность и анализ кода" справа от функции щелкните Автоматически включить новые общедоступные репозитории. Снимок экрана: страница "Безопасность и анализ кода" с выделенным флажком "Автоматически включать новые общедоступные репозитории" для частных отчетов об уязвимостях

  4. Справа от "Частные отчеты об уязвимостях" щелкните Включить все или Отключить все, чтобы включить или отключить функцию для всех новых общедоступных репозиториев, которые будут добавлены в организацию соответственно.

Как выглядит частные отчеты об уязвимостях, включенные для репозитория, для исследователя по безопасности

Если для репозитория включены частные отчеты об уязвимостях , исследователи по безопасности увидят новую кнопку на странице Рекомендации репозитория. Исследователь безопасности может нажать эту кнопку, чтобы в частном порядке сообщить об уязвимости безопасности в поддержку репозитория.

Снимок экрана: кнопка "Сообщить об уязвимости" для репозитория, в котором включены частные отчеты об уязвимостях

Исследователи безопасности также могут использовать REST API для частных отчетов об уязвимостях системы безопасности. Дополнительные сведения см. в разделе "Частный отчет об уязвимости системы безопасности" в документации по REST API.

ПредыдущийНастройка частных отчетов об уязвимостях для репозиторияСледующаяСоздание рекомендаций по безопасности репозитория