Skip to main content

为存储库配置私人漏洞报告

公共存储库的所有者和管理员可以允许安全研究人员通过启用私人漏洞报告来安全地报告存储库中的漏洞。

谁可以使用此功能?

Anyone with admin permissions to a public repository can enable and disable private vulnerability reporting for the repository.

关于私人报告安全漏洞

安全研究人员通常有责任提醒用户注意可能被利用的漏洞。 如果没有关于联系包含该漏洞的存储库的维护人员的明确说明,安全研究人员可能别无选择,只好在社交媒体上发布该漏洞,直接向维护人员发送消息,甚至提出公共问题。 这种情况可能会导致公开披露漏洞详细信息。

通过专用漏洞报告,安全研究人员可以轻松地使用简单的表单直接向你报告漏洞。

当安全研究人员私下报告漏洞时,你会收到通知并且可以选择接受报告、提出更多问题或拒绝报告。 如果接受报告,则可以与安全研究人员私下协作修复漏洞。

对于维护人员来说,使用专用漏洞报告的好处是:- 降低公开联系或通过不需要的方式联系的风险。

  • 为简单起见,在解决这些漏洞的同一平台上接收报告
  • 安全研究人员以维护人员身份创建或至少启动顾问报告。
  • 维护人员在用于讨论和解决顾问的同一平台上接收报告。
  • 漏洞不太可能出现在公众的视野中。
  • 有机会与安全研究人员私下讨论漏洞详细信息并就补丁进行协作。

本文中的说明涉及存储库级别的启用。 有关在组织级别启用该功能的信息,请参阅“为组织配置专用漏洞报告”。

为存储库启用或禁用私人漏洞报告

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在“代码安全性和分析”下,单击“私人漏洞报告”右侧的“启用”或“禁用”,分别启用或禁用该功能 。

    “代码安全和分析”页的屏幕截图,其中显示了“私人漏洞报告”设置。 “启用”按钮以深橙色框出。

为存储库启用专用漏洞报告,安全研究人员将在存储库的“顾问”页面中看到一个新按钮。 安全研究人员可单击此按钮,私下向存储库维护人员报告安全漏洞。

显示已启用专用漏洞报告的存储库的“报告漏洞”按钮的屏幕截图。

安全研究人员还可以使用 REST API 私下报告安全漏洞。 有关详细信息,请参阅“私下报告安全漏洞”。

为专用漏洞报告配置通知

在启用了私人漏洞报告的存储库中私下报告新漏洞时,GitHub 会在以下情况下通知存储库维护人员和安全管理员:

  • 他们正在监视存储库中的所有活动。
  • 他们为存储库启用了通知。

通知取决于用户的通知首选项。 你将收到电子邮件通知,前提是:

  • 你正在监视存储库。
  • 你已为“所有活动”启用通知。
  • 在通知设置中“订阅”下的“监视”下,你已选择通过电子邮件接收通知。
  1. 在 GitHub 上,导航到存储库的主页面。

  2. 若要开始监视存储库,请选择“监视”。

    存储库主页的屏幕截图。 标题为“监视”的下拉菜单,用橙色边框突出显示。

  3. 在下拉菜单中,单击“所有活动”。

  4. 导航到个人帐户的通知设置。 这些可在 https://github.com/settings/notifications 中找到。

  5. 在通知设置页上“订阅”下的“正在监视”下,选择“通知我”下拉列表。

  6. 选择“电子邮件”作为通知选项,然后单击“保存”。

    用户帐户的通知设置的屏幕截图。 显示一个标题为“订阅”的元素标头和一个标题为“正在监视”的子标头。 标题为“电子邮件”的复选框用橙色边框突出显示。

有关设置通知首选项的详细信息,请参阅“管理存储库的安全和分析设置”和“为单个存储库配置监视设置”。