Hinweis: Wenn du Sicherheitsforscher bist, solltest du dich direkt an die Betreuer wenden und sie bitten, Sicherheitshinweise zu erstellen oder in deinem Auftrag CVEs in Repositorys zu erstellen, die nicht von dir verwaltet werden. Wenn jedoch das private Melden von Sicherheitsrisiken für das Repository aktiviert ist, können Sie selbst ein Sicherheitsrisiko privat melden. Weitere Informationen findest du unter Privates Melden eines Sicherheitsrisikos.
Erstellen einer Sicherheitsempfehlung
Du kannst auch die REST-API verwenden, um Sicherheitsempfehlungen für Repositorys zu erstellen. Weitere Informationen findest du unter REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Wähle auf der linken Randleiste unter „Berichterstellung“ die Option Empfehlungen aus.
-
Klicke auf Neue Sicherheitsempfehlung entwerfen, um das Entwurfsformular für Empfehlungen zu öffnen. Mit einem Sternchen gekennzeichnete Felder müssen ausgefüllt werden.
-
Gib im Feld Titel einen Titel für deine Sicherheitsempfehlung ein.
-
Verwende das Dropdownmenü CVE-Bezeichner, um anzugeben, ob du bereits über einen CVE-Bezeichner verfügst oder ob du planst, später einen von GitHub anzufordern. Wenn du bereits über einen CVE-Bezeichner verfügst, wähle Ich verfüge über einen vorhandene CVE-Bezeichner aus, um das Feld Vorhandener CVE-Bezeichner anzuzeigen, und gib den CVE-Bezeichner in das Textfeld ein. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.
-
Gib im Feld Beschreibung eine Beschreibung des Sicherheitsrisikos ein, einschließlich ihrer Auswirkungen, aller verfügbaren Patches oder Problemumgehungen sowie eventueller Verweise.
-
Gib unter „Betroffene Produkte“ das Ökosystem, den Paketnamen, die betroffenen/gepatchten Versionen und die anfälligen Funktionen für das Sicherheitsrisiko an, das dieser Sicherheitshinweis beschreibt. Falls zutreffend, kannst du mehrere betroffene Produkte zum gleichen Hinweis hinzufügen, indem du auf Ein weiteres betroffenes Produkt hinzufügen klickst.
Informationen zur Eingabe von Informationen im Formular, einschließlich der betroffenen Versionen, findest du unter Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys.
-
Definiere den Schweregrad des Sicherheitsrisikos mithilfe des Dropdownmenüs Schweregrad. Wenn du einen CVSS-Score (Common Vulnerability Scoring System) berechnen möchtest, wähle Schweregrad mithilfe von CVSS bewerten und dann die entsprechenden Werte im Rechner aus. GitHub Enterprise Cloud berechnet den Score gemäß dem Common Vulnerability Scoring System Calculator.
-
Gib unter „Schwächen“ im Feld Common Weakness Enumerator die Common Weakness Enumerators (CWEs) ein, die die mit diesem Sicherheitshinweis gemeldeten Arten von Sicherheitsschwachstellen beschreiben. Eine vollständige Liste der CWEs findest du in der Common Weakness Enumeration von MITRE.
-
Optional kannst du unter „Anerkennungen“ Anerkennungen hinzufügen, indem du nach einem GitHub-Benutzernamen, der E-Mail-Adresse, die dem GitHub-Konto zugeordnet ist, oder nach dem vollständigen Namen suchst.
-
Verwende das Dropdownmenü neben dem Namen der Person, die du erwähnst, um ihr einen Anerkennungstyp zuzuweisen. Weitere Informationen zu Anerkennungstypen findest du im Abschnitt Informationen zu Anerkennungen für Empfehlungen zur Repositorysicherheit.
-
Um jemanden zu entfernen, wähle optional neben dem Anerkennungstyp aus.
-
-
Klicke auf Entwurf für Sicherheitsempfehlung erstellen.
Die Personen, die im Abschnitt „Anerkennungen“ aufgeführt sind, erhalten eine E-Mail oder Webbenachrichtigung, in der sie eingeladen werden, diese zu akzeptieren. Wenn eine Person akzeptiert, wird ihr Benutzername öffentlich sichtbar, sobald die Sicherheitsempfehlung veröffentlicht wird.
Informationen zu Sicherheitsempfehlungen für Repositorys
Du kannst Personen, die beim Entdecken, Melden oder Beheben eines Sicherheitsrisikos geholfen, eine Anerkennung zuweisen. Wenn du jemandem eine Anerkennung zuteil werden lässt, kann diese Person entscheiden, ob sie die Anerkennung annimmt oder ablehnt.
Du kannst Personen verschiedene typen von Anerkennungen zuweisen.
| Anerkennungstyp | Grund |
|---|---|
| Finder | Identifiziert das Sicherheitsrisiko |
| Melder | Benachrichtigt den Anbieter über das Sicherheitsrisiko für eine CNA |
| Analytiker | Überprüft das Sicherheitsrisiko, um Genauigkeit oder Schweregrad sicherzustellen |
| Koordinator | Führt den koordinierten Reaktionsprozess durch |
| Korrekturentwickler | Bereitet eine Codeänderung oder andere Wartungspläne vor |
| Korrekturprüfer | Überprüft Pläne zur Behebung von Sicherheitsrisiken oder Codeänderungen auf Effektivität und Vollständigkeit |
| Korrekturbestätiger | Testet und überprüft das Sicherheitsrisiko oder seine Korrektur |
| Tool | Namen von Tools, die bei der Ermittlung oder Identifizierung von Sicherheitsrisiken verwendet werden |
| Projektsponsor | Unterstützt die Aktivitäten zur Identifizierung oder Korrektur von Sicherheitsrisiken |
Wenn die Person die Anerkennung annimmt, wird ihr Benutzername im Abschnitt „Anerkennungen“ der Sicherheitsempfehlung angezeigt. Alle Personen mit Lesezugriff auf das Repository können die Sicherheitsempfehlung sowie diejenigen Personen sehen, die eine Anerkennung angenommen haben.
Hinweis: Wenn du der Meinung bist, eine Anerkennung für eine Sicherheitsempfehlung verdient zu haben, wende dich an die Person, die die Empfehlung erstellt hat, und bitte sie, deine Anerkennung in die Empfehlung aufzunehmen. Nur die Person, die eine Empfehlung erstellt hat, kann die Anerkennung zuweisen. Wende dich daher nicht an den GitHub-Support, wenn es um Anerkennungen für Sicherheitsempfehlungen geht.
Nächste Schritte
- Du kannst Den Entwurf des Sicherheitshinweises kommentieren, um die Schwachstelle mit Deinem Team zu diskutieren.
- Füge Mitarbeiter zum Sicherheitshinweis hinzu. Weitere Informationen findest du unter Hinzufügen eines Mitarbeiters zu einem Repository-Sicherheitshinweis.
- Privat mit anderen zusammenarbeiten, um die Schwachstelle in einem temporären privaten Fork zu beheben. Weitere Informationen findest du unter Zusammenarbeit in einem temporären privaten Fork, um eine Sicherheitslücke im Repository zu beheben.
- Füge Personen hinzu, die eine Anerkennung für einen Beitrag zur Sicherheitsempfehlung erhalten sollen. Weitere Informationen findest du unter Bearbeiten einer Sicherheitsempfehlung für ein Repository.
- Veröffentliche den Sicherheitshinweis, um Deine Community über die Sicherheitslücke zu informieren. Weitere Informationen findest du unter Veröffentlichen einer Sicherheitsempfehlung für ein Repository.