Configuration de rapports de vulnérabilité privés pour un dépôt

Les propriétaires et administrateurs de dépôts publics peuvent permettre aux chercheurs en sécurité de signaler des vulnérabilités de façon sécurisée dans le dépôt en activant les rapports de vulnérabilité privés.

Qui peut utiliser cette fonctionnalité ?

Anyone with admin permissions to a public repository can enable and disable private vulnerability reporting for the repository.

Dans cet article

À propos du signalement privé d’une vulnérabilité de sécurité

Les chercheurs en sécurité se sentent souvent responsables d’alerter les utilisateurs sur une vulnérabilité qui pourrait être exploitée. S’il n’y a pas d’instructions claires sur la façon de contacter les chargés de maintenance du référentiel contenant la vulnérabilité, les chercheurs en sécurité risquent de ne pas avoir d’autre choix que de publier le rapport sur la vulnérabilité sur les réseaux sociaux, d’envoyer des messages directement au chargé de maintenance ou même de créer des problèmes publics. Cette situation peut potentiellement conduire à une divulgation publique des détails de la vulnérabilité.

Les rapports de vulnérabilité privés permettent aux chercheurs en sécurité de vous signaler les vulnérabilités directement au moyen d’un simple formulaire.

Quand un chercheur en sécurité signale une vulnérabilité en privé, vous en êtes notifié et pouvez choisir d’accepter le rapport, de poser d’autres questions ou de le rejeter. Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif de la vulnérabilité en privé avec le chercheur en sécurité.

Pour les chargés de maintenance, les avantages de l’utilisation de rapports de vulnérabilité privés sont les suivants : * Les risques d’être contacté publiquement ou par des moyens non souhaités sont moindres.

  • Les rapports sont reçus sur la même plateforme dont vous vous servez pour les résoudre afin de simplifier les choses
  • Le chercheur en sécurité crée ou, au moins, initie le rapport consultatif pour le compte des chargés de maintenance.
  • Les chargés de maintenance reçoivent des rapports sur la même plateforme que celle utilisée pour traiter et résoudre les avis.
  • La vulnérabilité a moins de risque d’être à la vue de tous.
  • L’occasion de discuter des détails des vulnérabilités en privé avec les chercheurs en sécurité et de collaborer sur le correctif.

Les instructions de cet article font référence à l’activation au niveau d’un dépôt. Pour plus d’informations sur l’activation de la fonctionnalité au niveau d’une organisation, consultez la section « Configuration de rapports de vulnérabilité privés pour une organisation ».

Activation ou désactivation des rapports de vulnérabilité privés pour un dépôt

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Sécurité et analyse du code », à droite de « Rapports de vulnérabilité privés », cliquez sur Activer ou Désactiver pour activer ou désactiver la fonctionnalité, respectivement.

    Capture d’écran de la page « Sécurité et analyse du code », montrant le paramètre « Rapports de vulnérabilités privés ». Le bouton « Activer » est indiqué en orange foncé.

Quand les rapports de vulnérabilité privés sont activés pour un dépôt, les chercheurs en sécurité voient un nouveau bouton dans la page Avis du dépôt. Le chercheur en sécurité peut cliquer sur ce bouton pour signaler en privé une vulnérabilité de sécurité au chargé de maintenance du dépôt.

Capture d’écran montrant le bouton « Signaler une vulnérabilité » pour un dépôt où les rapports de vulnérabilité privés ont été activés.

Les chercheurs en sécurité peuvent également utiliser l’API REST pour signaler en privé les failles de sécurité. Pour plus d’informations, consultez « Signalement privé d’une faille de sécurité ».

Configuration des notifications pour la création de rapports de vulnérabilités privés

Quand une nouvelle vulnérabilité est signalée en privé sur un dépôt où les rapports de vulnérabilités privés sont activés, GitHub avertit les responsables de la maintenance du dépôt et les responsables de la sécurité si :

  • Ils surveillent le dépôt pour toutes les activités.
  • Les notifications sont activées pour le dépôt.

Les notifications dépendent des préférences de notification de l’utilisateur. Vous recevrez une notification par e-mail si :

  • Vous surveillez le dépôt.
  • Vous avez activé les notifications pour « Toutes les activités ».
  • Dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Pour commencer à surveiller le dépôt, sélectionnez Surveiller.

    Capture d’écran de la page principale du dépôt. Un menu déroulant intitulé « Surveiller » est mis en évidence avec un encadré orange.

  3. Dans le menu déroulant, cliquez sur Toutes les activités.

  4. Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.

  5. Dans la page des paramètres de notification, sous « Abonnements », puis sous « Surveillance », sélectionnez la liste déroulante M’avertir.

  6. Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.

    Capture d’écran des paramètres de notification pour un compte d’utilisateur. Un en-tête d’élément, intitulé « Abonnements », et un sous-en-tête, intitulé « Surveillance », sont présentés. Une case à cocher, intitulée « E-mail », est mise en évidence avec un contour orange.

Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».