Skip to main content

私下报告安全漏洞

某些公共存储库配置安全公告,以便任何人都可以直接并私下向维护人员报告安全漏洞。

注意:漏洞的专用报告目前处于 beta 阶段,可能会发生更改。

公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置专用漏洞报告”。

关于私人报告安全漏洞

安全研究人员通常有责任提醒用户注意可能被利用的漏洞。 如果没有关于联系包含该漏洞的存储库的维护人员的明确说明,安全研究人员可能别无选择,只好在社交媒体上发布该漏洞,直接向维护人员发送消息,甚至提出公共问题。 这种情况可能会导致公开披露漏洞详细信息。

通过私下漏洞报告,安全研究人员可以轻松地使用简单的表单直接向存储库维护人员报告漏洞。

对于安全研究人员来说,使用私下漏洞报告的好处是:

  • 减少挫折感,减少花费在尝试如何联系维护人员的时间。
  • 披露和讨论漏洞详细信息的过程更顺畅。
  • 有机会与存储库维护人员私下讨论漏洞详细信息。

注意:如果存储库未启用私下漏洞报告,则需要按照存储库的安全策略中的说明启动报告过程,或者创建问题,让维护人员提供首选的安全联系人。 有关详细信息,请参阅“关于协调披露安全漏洞”。

私下报告安全漏洞

安全研究人员可以私下向存储库维护人员报告安全漏洞。

  1. 在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。 “安全”选项卡 1. 在左侧边栏的“报告”下,单击“通告”。 “安全通告”选项卡

  2. 单击“报告漏洞”可打开咨询表单。

    显示“报告漏洞”按钮的屏幕截图

  3. 填写咨询详细信息表单。

    提示:在此表单中,只有标题和说明是必填的。 (在存储库维护人员启动的一般安全咨询表单草稿中,还需要指定生态系统。)但是,建议安全研究人员在表单上提供尽可能多的信息,以便维护人员可以就提交的报告做出明智的决定。 可以采用我们的安全研究人员从 GitHub Security Lab 使用的模板,该模板可在 github/securitylab 存储库中获取。

    有关可用字段和填写表单的指导的详细信息,请参阅“创建存储库安全公告”和“编写存储库安全公告的最佳做法”。

  4. 在表单底部,单击“提交报告”。 GitHub 将显示一条消息,告知你已通知维护人员,并且你拥有此安全公告的待处理额度。

    显示“提交报告”按钮的屏幕截图

    提示:提交报告后,GitHub 会自动将漏洞报告者添加为协作者,并在建议的公告中作为信用用户添加。

  5. (可选)如果要开始修复问题,单击“启动临时专用分支”。 请注意,只有存储库维护人员才能合并该专用分支。

    显示“启动临时分支”按钮的屏幕截图

后续步骤取决于存储库维护人员执行的操作。 有关详细信息,请参阅“管理私下报告的安全漏洞”。