公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置私人漏洞报告”。
Note
- 如果你有公共存储库的管理员或安全权限,则无需提交漏洞报告。 可以改为直接创建安全公告草稿。 有关详细信息,请参阅“创建存储库安全公告”。
- 能否在存储库中以非公开方式报告漏洞,与存储库根路径或
docs
目录中是否存在SECURITY.md
文件无关。SECURITY.md
文件包含该存储库的安全策略。 存储库管理员可以添加此文件,并使用它来提供有关如何在存储库中报告安全漏洞的公共说明。 有关详细信息,请参阅“将安全策略添加到存储库”。- 只能为启用了专用漏洞报告的存储库以非公开方式报告漏洞,并且不必按照
SECURITY.md
文件中的说明来操作。 此报告过程是完全私有的,GitHub 会直接向存储库管理员发送提交通知。
关于私人报告安全漏洞
安全研究人员通常有责任提醒用户注意可能被利用的漏洞。 如果没有关于联系包含该漏洞的存储库的维护人员的明确说明,安全研究人员可能别无选择,只好在社交媒体上发布该漏洞,直接向维护人员发送消息,甚至提出公共问题。 这种情况可能会导致公开披露漏洞详细信息。
通过私人漏洞报告,安全研究人员可以轻松地使用简单的表单直接向存储库维护人员报告漏洞。
对于安全研究人员来说,使用私下漏洞报告的好处是:
- 减少挫折感,减少花费在尝试如何联系维护人员的时间。
- 披露和讨论漏洞详细信息的过程更顺畅。
- 有机会与存储库维护人员私下讨论漏洞详细信息。
Note
如果存储库未启用私下漏洞报告,则需要按照存储库的安全策略中的说明启动报告过程,或者创建问题,让维护人员提供首选的安全联系人。 有关详细信息,请参阅“关于安全漏洞的协调披露”。
私下报告安全漏洞
如果公共存储库启用了专用漏洞报告,则任何人均可向存储库维护者私下报告安全漏洞。 用户还可以评价公共存储库的一般安全性并提出安全策略建议。 有关详细信息,请参阅“评估存储库的安全设置”。
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。
-
单击“报告漏洞”可打开咨询表单。
-
填写咨询详细信息表单。
Tip
在此表单中,只有标题和说明是必填的。 (在存储库维护人员启动的一般安全咨询表单草稿中,还需要指定生态系统。)但是,建议安全研究人员在表单上提供尽可能多的信息,以便维护人员可以就提交的报告做出明智的决定。 可以采用我们的安全研究人员使用的来自 GitHub Security Lab 的模板,此模板可以在“
github/securitylab
存储库”上获取。有关可用字段的详细信息和填写表单的指导,请参阅“创建存储库安全公告”和“编写存储库安全公告的最佳做法”。
-
在表单底部,单击“提交报告”。 GitHub 将显示一条消息,告知你已通知维护人员,并且你拥有此安全公告的待处理额度。
Tip
提交报告后,GitHub 会自动将漏洞报告者添加为协作者,并在建议的公告中作为信用用户添加。
-
(可选)如果要开始修复问题,单击“启动临时专用分支”。 请注意,只有存储库维护者才能将来自该专用分支的更改合并到父存储库中。
后续步骤取决于存储库维护人员执行的操作。 有关详细信息,请参阅“管理私下报告的安全漏洞”。