注意:漏洞的专用报告目前处于 beta 阶段,可能会发生更改。
公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置专用漏洞报告”。
关于私下报告安全漏洞
通过非公开漏洞报告,安全研究人员可以轻松使用简单的表单直接向你报告漏洞。
当安全研究人员私下报告漏洞时,你会收到通知并且可以选择接受报告、提出更多问题或拒绝报告。 如果接受报告,则可以与安全研究人员私下协作修复漏洞。
管理私下报告的安全漏洞
当安全研究人员私下报告存储库中的漏洞时,GitHub 会通知存储库维护人员,并在维护人员监视存储库或为存储库启用通知的情况下发送通知。 有关详细信息,请参阅“配置通知”。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。
1. 在左侧边栏的“报告”下,单击“通告”。
-
单击要查看的通告。 私下报告的通告的状态为
Needs triage。
-
仔细查看报告。 可以:
-
单击“启动临时专用分叉”,与安全研究人员私下协作生成修补程序。 这为你提供了一个与参与者进一步讨论的空间,而无需从
Needs triage更改建议的通告状态。 -
单击“接受并作为草稿打开”,在 GitHub 上将漏洞报告作为草稿通告接受。 如果你选择此选项:
- 该选项不会公开报表。
- 报表将成为存储库安全通告草稿,可以采用与创建的任何草稿通告相同的方式使用它。 有关安全通告的详细信息,请参阅“关于存储库安全通告”。
-
单击“关闭安全通告”可拒绝报告。 在可能的情况下,在关闭通告之前应添加注释,解释为什么不将报告内容视为安全风险。
-