Les propriétaires et les administrateurs de dépôts publics peuvent activer les rapports de vulnérabilités privés sur leurs dépôts. Pour plus d’informations, consultez « Configuration de rapports de vulnérabilité privés pour un dépôt ».
À propos du signalement privé d’une vulnérabilité de sécurité
Les rapports de vulnérabilités privés permettent aux chercheurs en sécurité de vous signaler les vulnérabilités directement au moyen d’un simple formulaire.
Quand un chercheur en sécurité signale une vulnérabilité en privé, vous en êtes notifié et pouvez choisir d’accepter le rapport, de poser d’autres questions ou de le rejeter. Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif de la vulnérabilité en privé avec le chercheur en sécurité.
Gestion des vulnérabilités de sécurité signalées en privé
Quand une nouvelle vulnérabilité est signalée en privé sur un dépôt où les rapports de vulnérabilités privés sont activés, GitHub Enterprise Cloud avertit les responsables de la maintenance du dépôt et les responsables de la sécurité si :
- Ils surveillent le dépôt pour toutes les activités.
- Les notifications sont activées pour le dépôt.
Pour plus d’informations sur la configuration des préférences de notification, consultez « Configuration de rapports de vulnérabilité privés pour un dépôt ».
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.
-
Cliquez sur l’avis que vous souhaitez consulter. Un avis qui a été signalé en privé a l’état
Triage
. -
Examinez attentivement le rapport, puis choisissez comment procéder.
-
Pour collaborer sur un correctif en privé, cliquez sur Démarrer une duplication privée temporaire afin de créer un emplacement pour d’autres discussions avec le contributeur. Cela ne modifie pas l’état de l’avis proposé à partir de
Triage
. -
Acceptez le rapport de vulnérabilité en tant que brouillon d’avis sur GitHub, en cliquant sur Accepter et ouvrir en tant que brouillon. Si vous choisissez cette option :
- Cela ne rend pas le rapport public.
- Le rapport devient un brouillon d’avis de sécurité de dépôt et vous pouvez travailler dessus de la même façon que sur tout brouillon d’avis que vous créez. Pour plus d’informations sur les avis de sécurité, consultez « À propos des avis de sécurité des référentiels ».
-
Pour demander plus d’information ou pour ouvrir une discussion avec le signaleur, vous pouvez commenter l’avis. Les commentaires ne sont visibles que par le signaleur et par tous les collaborateurs sur l’avis.
-
Si vous disposez de suffisamment d’informations pour déterminer que le problème décrit par le signaleur n’est pas un risque pour la sécurité, cliquez sur Fermer l’avis de sécurité. Si possible, avant de fermer l’avis, vous devez ajouter un commentaire expliquant pourquoi vous ne considérez pas le rapport comme un risque pour la sécurité.
-