注意:漏洞的专用报告目前处于 beta 阶段,可能会发生更改。
公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置私人漏洞报告”。
关于私人报告安全漏洞
安全研究人员通常有责任提醒用户注意可能被利用的漏洞。 如果没有关于联系包含该漏洞的存储库的维护人员的明确说明,安全研究人员可能别无选择,只好在社交媒体上发布该漏洞,直接向维护人员发送消息,甚至提出公共问题。 这种情况可能会导致公开披露漏洞详细信息。
通过私下漏洞报告,安全研究人员可以轻松地使用简单的表单直接向存储库维护人员报告漏洞。
对于安全研究人员来说,使用私下漏洞报告的好处是:
- 减少挫折感,减少花费在尝试如何联系维护人员的时间。
- 披露和讨论漏洞详细信息的过程更顺畅。
- 有机会与存储库维护人员私下讨论漏洞详细信息。
注意:如果存储库未启用私下漏洞报告,则需要按照存储库的安全策略中的说明启动报告过程,或者创建问题,让维护人员提供首选的安全联系人。 有关详细信息,请参阅“关于安全漏洞的协调披露”。
私下报告安全漏洞
安全研究人员可以私下向存储库维护人员报告安全漏洞。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。
-
单击“报告漏洞”可打开咨询表单。
-
填写咨询详细信息表单。
提示:在此表单中,只有标题和说明是必填的。 (在存储库维护人员启动的一般安全咨询表单草稿中,还需要指定生态系统。)但是,建议安全研究人员在表单上提供尽可能多的信息,以便维护人员可以就提交的报告做出明智的决定。 可以采用我们的安全研究人员从 GitHub Security Lab 使用的模板,该模板可在
github/securitylab存储库中获取。有关可用字段的详细信息和填写表单的指导,请参阅“创建存储库安全公告”和“编写存储库安全公告的最佳做法”。
-
在表单底部,单击“提交报告”。 GitHub 将显示一条消息,告知你已通知维护人员,并且你拥有此安全公告的待处理额度。
提示:提交报告后,GitHub 会自动将漏洞报告者添加为协作者,并在建议的公告中作为信用用户添加。
-
(可选)如果要开始修复问题,单击“启动临时专用分支”。 请注意,只有存储库维护者才能将来自该专用分支的更改合并到父存储库中。
后续步骤取决于存储库维护人员执行的操作。 有关详细信息,请参阅“管理私下报告的安全漏洞”。