关于私人报告安全漏洞
安全研究人员通常有责任提醒用户注意可能被利用的漏洞。 如果没有关于联系包含该漏洞的存储库的维护人员的明确说明,安全研究人员可能别无选择,只好在社交媒体上发布该漏洞,直接向维护人员发送消息,甚至提出公共问题。 这种情况可能会导致公开披露漏洞详细信息。
通过专用漏洞报告,安全研究人员可以轻松地使用简单的表单直接向你报告漏洞。
当安全研究人员私下报告漏洞时,你会收到通知并且可以选择接受报告、提出更多问题或拒绝报告。 如果接受报告,则可以与安全研究人员私下协作修复漏洞。
对于组织所有者和安全管理人员来说,使用专用漏洞报告的好处是:- 降低公开联系或通过不需要的方式联系的风险。
- 为简单起见,在解决这些漏洞的同一平台上接收报告
- 安全研究人员以维护人员身份创建或至少启动顾问报告。
- 维护人员在用于讨论和解决顾问的同一平台上接收报告。
- 漏洞不太可能出现在公众的视野中。
- 有机会与安全研究人员私下讨论漏洞详细信息并就补丁进行协作。
以下说明是指组织级别的启用。 有关为存储库启用该功能的信息,请参阅“为存储库配置私人漏洞报告”。
在启用了私人漏洞报告的存储库中私下报告新漏洞时,GitHub 会在以下情况下通知存储库维护人员和安全管理员:
- 他们正在监视存储库中的所有活动。
- 他们为存储库启用了通知。
有关如何配置通知首选项的详细信息,请参阅“为存储库配置私人漏洞报告”。
启用或禁用组织中所有现有公共存储库的专用漏洞报告
-
在 GitHub.com 的右上角,选择个人资料照片,然后单击 “你的组织”****。
-
在组织旁边,单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全性和分析”下,单击“私人漏洞报告”右侧的“全部启用”或“全部禁用”,为组织中的所有公共存储库分别启用或禁用该功能 。
为添加到组织的新公共存储库启用或禁用专用漏洞报告
-
在 GitHub.com 的右上角,选择个人资料照片,然后单击 “你的组织”****。
-
在组织旁边,单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在“代码安全性和分析”下,单击该功能右侧的“自动启用新的公共存储库”。
-
单击“私人漏洞报告”右侧的“全部启用”或“全部禁用”,为将添加到组织中的所有新公共存储库分别启用或禁用该功能 。
为存储库启用的专用漏洞报告的内容看起来像是面向安全研究人员
为存储库启用专用漏洞报告,安全研究人员将在存储库的“顾问”页面中看到一个新按钮。 安全研究人员可单击此按钮,私下向存储库维护人员报告安全漏洞。
安全研究人员还可以使用 REST API 私下报告安全漏洞。 有关详细信息,请参阅 REST API 文档中的“私下报告安全漏洞”。