Besitzer und Administratoren öffentlicher Repositorys können das private Melden von Sicherheitsrisiken für ihre Repositorys aktivieren. Weitere Informationen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.
Informationen zum privaten Melden eines Sicherheitsrisikos
Dank der Möglichkeit zum privaten Melden von Sicherheitsrisiken können Sicherheitsforscher Sicherheitsrisiken mühelos über ein einfaches Formular direkt an dich melden.
Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem Sicherheitsforscher privat an einer Lösung für das Sicherheitsrisiko zu arbeiten.
Verwalten privat gemeldeter Sicherheitsrisiken
Wenn ein neues Sicherheitsrisiko privat für ein Repository gemeldet wird, in dem die private Berichterstellung für Sicherheitsrisiken aktiviert ist, benachrichtigt GitHub Repositorymaintainerinnen und Sicherheitsmanagerinnen in folgenden Fällen:
- Sie beobachten das Repository für alle Aktivitäten.
- Für sie sind Benachrichtigungen für das Repository aktiviert.
Weitere Informationen zum Konfigurieren von Benachrichtigungseinstellungen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Wähle auf der linken Randleiste unter „Berichterstellung“ die Option Empfehlungen aus.
-
Klicke auf die Empfehlung, die du überprüfen möchtest. Ein Hinweis, der privat gemeldet wurde, hat den Status
Triage
. -
Überprüfe den Bericht sorgfältig, und wähle dann aus, wie du fortfahren möchtest.
-
Wenn du privat an einem Patch zusammenarbeiten möchtest, wähle Mit temporärem privatem Fork beginnen aus, um einen Ort für weitere Diskussionen mit Mitwirkenden zu erstellen. Der Status
Triage
des vorgeschlagenen Hinweises ändert sich dadurch nicht. -
Wähle Akzeptieren und als Entwurf öffnen aus, um das gemeldete Sicherheitsrisiko anzunehmen und die Sicherheitsrisikomeldung als Hinweisentwurf auf GitHub zu akzeptieren. Bei dieser Option gilt Folgendes:
- Die Meldung wird dadurch nicht öffentlich.
- Die Meldung wird zu einem Entwurf für eine Repositorysicherheitsempfehlung, und du kannst sie auf die gleiche Weise bearbeiten wie alle von dir erstellten Empfehlungsentwürfe. Weitere Informationen zu Sicherheitshinweisen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.
-
Um weitere Informationen zu erhalten oder eine Diskussion mit Melderinnen zu öffnen, kannst du dem Hinweis einen Kommentar hinzufügen. Alle Kommentare sind nur für Melderinnen und Projektmitarbeiter*innen des Hinweises sichtbar.
-
Wenn du über genügend Informationen verfügst, um zu entscheiden, dass das gemeldete Problem kein Sicherheitsrisiko ist, wähle Sicherheitshinweis schließen aus. Füge vor dem Schließen der Empfehlung nach Möglichkeit einen Kommentar hinzu, um zu erläutern, warum du die Meldung nicht als Sicherheitsrisiko betrachtest.
-