公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置私人漏洞报告”。
关于私下报告安全漏洞
通过非公开漏洞报告,安全研究人员可以轻松使用简单的表单直接向你报告漏洞。
当安全研究人员私下报告漏洞时,你会收到通知并且可以选择接受报告、提出更多问题或拒绝报告。 如果接受报告,则可以与安全研究人员私下协作修复漏洞。
管理私下报告的安全漏洞
在启用了私人漏洞报告的存储库中私下报告新漏洞时,GitHub 会在以下情况下通知存储库维护人员和安全管理员:
- 他们正在监视存储库中的所有活动。
- 他们为存储库启用了通知。
有关如何配置通知首选项的详细信息,请参阅 为存储库配置私人漏洞报告。
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。
-
在左侧边栏中的“报告”下,单击“ 公告”。
-
单击要查看的通告。 私下报告的通告的状态为
Triage
。 -
仔细查看报告,然后选择继续操作方式。
-
若要私下协作生成修补程序,请单击“启动临时专用分叉”创建一个与参与者进一步讨论的地方。 这不会更改
Triage
的拟议通告的状态。 -
若要接受报告的漏洞,请单击“接受并作为草稿打开”,在 GitHub 上将漏洞报告作为草稿通告接受。 如果你选择此选项:
- 该选项不会公开报表。
- 报表将成为存储库安全通告草稿,可以采用与创建的任何草稿通告相同的方式使用它。 有关安全通告的详细信息,请参阅 关于存储库安全公告。
-
如需详细信息,或与报告者展开讨论,可以对通告进行注释。 任何注释仅对报告者和通告上的协作者可见。
-
如果你可以通过足够的信息确定报告者描述的问题不是安全风险,请单击“关闭安全通告”。 在可能的情况下,在关闭通告之前应添加注释,解释为什么不将报告内容视为安全风险。
-