管理私下报告的安全漏洞

如果存储库启用了非公开漏洞报告,则存储库维护者可以管理由存储库安全研究人员向其私下报告的安全漏洞。

谁可以使用此功能?

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

本文内容

公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置私人漏洞报告”。

关于私下报告安全漏洞

通过非公开漏洞报告,安全研究人员可以轻松使用简单的表单直接向你报告漏洞。

当安全研究人员私下报告漏洞时,你会收到通知并且可以选择接受报告、提出更多问题或拒绝报告。 如果接受报告,则可以与安全研究人员私下协作修复漏洞。

管理私下报告的安全漏洞

在启用了私人漏洞报告的存储库中私下报告新漏洞时,GitHub 会在以下情况下通知存储库维护人员和安全管理员:

  • 他们正在监视存储库中的所有活动。
  • 他们为存储库启用了通知。

有关如何配置通知首选项的详细信息,请参阅“为存储库配置私人漏洞报告”。

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。

    存储库标头的屏幕截图,其中显示了选项卡。 “安全性”选项卡以深橙色边框突出显示。

  3. 在左侧边栏中的“报告”下,单击“ 公告”。

  4. 单击要查看的通告。 私下报告的通告的状态为 Triage

    “安全通告”列表的屏幕截图。

  5. 仔细查看报告,然后选择继续操作方式。

    • 若要私下协作生成修补程序,请单击“启动临时专用分叉”创建一个与参与者进一步讨论的地方。 这不会更改 Triage 的拟议通告的状态。

    • 若要接受报告的漏洞,请单击“接受并作为草稿打开”,在 GitHub 上将漏洞报告作为草稿通告接受。 如果你选择此选项:

      • 该选项不会公开报表。
      • 报表将成为存储库安全通告草稿,可以采用与创建的任何草稿通告相同的方式使用它。 有关安全通告的详细信息,请参阅“关于存储库安全公告”。

    • 如需详细信息,或与报告者展开讨论,可以对通告进行注释。 任何注释仅对报告者和通告上的协作者可见。

    • 如果你可以通过足够的信息确定报告者描述的问题不是安全风险,请单击“关闭安全通告”。 在可能的情况下,在关闭通告之前应添加注释,解释为什么不将报告内容视为安全风险。

      查看外部提交的漏洞报告时,存储库维护者可用的选项的屏幕截图。