Skip to main content
我们经常发布文档更新,此页面的翻译可能仍在进行中。 有关最新信息,请访问英语文档

管理私下报告的安全漏洞

存储库维护人员可以管理由存储库安全研究人员向其私下报告的安全漏洞,这些存储库已启用了非公开漏洞报告。

谁可以使用此功能

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

注意:漏洞的专用报告目前处于 beta 阶段,可能会发生更改。

公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置专用漏洞报告”。

关于私下报告安全漏洞

通过非公开漏洞报告,安全研究人员可以轻松使用简单的表单直接向你报告漏洞。

当安全研究人员私下报告漏洞时,你会收到通知并且可以选择接受报告、提出更多问题或拒绝报告。 如果接受报告,则可以与安全研究人员私下协作修复漏洞。

管理私下报告的安全漏洞

当安全研究人员私下报告存储库中的漏洞时,GitHub 会通知存储库维护人员,并在维护人员监视存储库或为存储库启用通知的情况下发送通知。 有关详细信息,请参阅“配置通知”。

  1. 在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。 “安全”选项卡 1. 在左侧边栏的“报告”下,单击“通告”。 “安全通告”选项卡

  2. 单击要查看的通告。 私下报告的通告的状态为 Needs triage

    通告列表示例的屏幕截图

  3. 仔细查看报告。 可以:

    • 单击“启动临时专用分叉”,与安全研究人员私下协作生成修补程序。 这为你提供了一个与参与者进一步讨论的空间,而无需从 Needs triage 更改建议的通告状态。

    • 单击“接受并作为草稿打开”,在 GitHub 上将漏洞报告作为草稿通告接受。 如果你选择此选项:

      • 该选项不会公开报表。
      • 报表将成为存储库安全通告草稿,可以采用与创建的任何草稿通告相同的方式使用它。 有关安全通告的详细信息,请参阅“关于存储库安全通告”。
    • 单击“关闭安全通告”可拒绝报告。 在可能的情况下,在关闭通告之前应添加注释,解释为什么不将报告内容视为安全风险。

      查看外部提交的漏洞报告时,存储库维护者可用的选项的屏幕截图