À propos de l’évaluation des paramètres de sécurité d’un dépôt
L’évaluation des paramètres de sécurité d’un dépôt public peut aider les chercheurs en sécurité à comprendre la posture de sécurité du dépôt. Ces informations peuvent vous aider à décider s’il faut contacter les chargés en maintenance du dépôt, par exemple, en signalant une vulnérabilité dans le dépôt.
Si un dépôt est public, des informations générales sur les paramètres de sécurité du dépôt sont accessibles à tous. Par exemple, vous pouvez voir si le dépôt a une stratégie de sécurité et si la création de rapports de vulnérabilités privés est activée. Vous pouvez également voir les avis de sécurité publiés et fermés du dépôt. Si aucune stratégie de sécurité n’est associée à un dépôt, vous pouvez en suggérer une. Si la création de rapports de vulnérabilités privés est activée dans le dépôt, vous pouvez signaler les vulnérabilités de sécurité en privé directement aux chargés de maintenance du dépôt.
Si vous disposez d’autorisations d’administration sur le dépôt et que celui-ci appartient à une organisation, vous pouvez voir des informations plus détaillées sur les paramètres de sécurité du dépôt dans la vue d’ensemble de la sécurité. Pour plus d’informations sur la vue d’ensemble de la sécurité, consultez « À propos de la vue d’ensemble de la sécurité ».
Si un dépôt est privé, vous pouvez voir les paramètres de sécurité seulement si vous disposez d’autorisations d’administration sur le dépôt ou si vous avez obtenu des autorisations de sécurité spéciales couvrant le dépôt, par exemple, en tant que responsable de la sécurité de l’organisation entière.
Si vous souhaitez évaluer le niveau de sécurité des référentiels à grande échelle, vous pouvez utiliser l'API pour vérifier si certains paramètres de sécurité sont activés pour les référentiels, tels que la notification privée des vulnérabilités. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les référentiels ».
Suggestion d’une stratégie de sécurité pour un dépôt
Si vous ne disposez pas d’autorisations d’administration ou de sécurité sur un dépôt public, vous pouvez quand même suggérer une stratégie de sécurité aux chargés de maintenance du dépôt s’il n’en existe pas déjà une. Les chargés de maintenance du dépôt peuvent ensuite choisir d’accepter ou de rejeter votre suggestion. Si les chargés de maintenance du dépôt acceptent votre suggestion, la stratégie de sécurité est associée au dépôt.
- Sur GitHub, accédez à la page principale du référentiel.
- Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
- Si le dépôt a une stratégie de sécurité, celle-ci s’affiche. Si aucune stratégie de sécurité n’est associée au dépôt, cliquez sur Suggérer une stratégie.
- Un fichier SECURITY.md est créé dans la branche par défaut du dépôt. Le fichier contient un modèle pour une stratégie de sécurité. Vous pouvez modifier le fichier pour ajouter la stratégie de sécurité que vous suggérez.
- Lorsque vous avez terminé, cliquez sur Commiter les changements.
- Renseignez la boîte de dialogue Commiter les changements.
- Sous « Message de commit », entrez un message de commit.
- Si vous le souhaitez, sous « Description détaillée », décrivez les changements apportés.
- Sélectionnez « Créer une branche pour ce commit et lancer une demande de tirage ».
- Cliquez sur Commiter les changements.
- Cliquez sur Create pull request (Créer une demande de tirage).
- Si vous le souhaitez, laissez un commentaire.
- Cliquez sur Create pull request (Créer une demande de tirage).
Signalement d’une vulnérabilité dans un dépôt
Si vous n’avez pas d’autorisations d’administration ou de sécurité pour un dépôt public, vous pouvez quand même signaler en privé une vulnérabilité de sécurité aux chargés de maintenance du dépôt si la création de rapports de vulnérabilités privés est activée. Les chargés de maintenance du dépôt peuvent ensuite choisir d’accepter ou de rejeter votre rapport. Si les chargés de maintenance du dépôt acceptent votre rapport, un avis de sécurité est créé pour le dépôt.
Remarque : Si le signalement de vulnérabilité privé n’est pas activé pour le référentiel, vous devez lancer le processus de signalement en suivant les instructions de la stratégie de sécurité pour le référentiel ou créer un problème demandant aux chargés de maintenance un contact de sécurité préféré. Pour plus d’informations, consultez « À propos de la divulgation coordonnée des vulnérabilités de sécurité ».
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Cliquez sur Signaler une vulnérabilité pour ouvrir le formulaire d’avis.
-
Remplissez le formulaire de détails de l’avis.
Conseil : Dans ce formulaire, seuls le titre et la description sont obligatoires. (Dans le formulaire général de brouillon d’avis de sécurité, qui est lancé par le chargé de maintenance de dépôt, la spécification de l’écosystème est également requise.) Toutefois, nous recommandons que les chercheurs en sécurité fournissent autant d’informations que possible dans le formulaire afin que les chargés de maintenance puissent prendre une décision éclairée au sujet du rapport soumis. Vous pouvez adopter le modèle utilisé par nos chercheurs en sécurité depuis le GitHub Security Lab, qui est disponible dans le « référentiel
github/securitylab
. »Pour plus d’informations sur les champs disponibles et des conseils sur le remplissage du formulaire, consultez « Création d’un avis de sécurité de dépôt » et « Meilleures pratiques pour l’écriture des avis de sécurité de référentiels ».
-
En bas du formulaire, cliquez sur Envoyer le rapport. GitHub affiche un message vous informant que les chargés de maintenance ont été avertis et que vous avez un crédit en attente pour cet avis de sécurité.
Conseil : Quand le rapport est soumis, GitHub ajoute automatiquement le rapporteur de la vulnérabilité en tant que collaborateur et utilisateur crédité sur l’avis proposé.
-
Si vous souhaitez commencer à résoudre le problème, cliquez sur Démarrer une duplication privée temporaire. Notez que seul le chargé de maintenance du dépôt peut fusionner les modifications de cette duplication privée dans le dépôt parent.