Informationen zum privaten Melden eines Sicherheitsrisikos
Sicherheitsforscher fühlen sich häufig dafür verantwortlich, Benutzer vor einer Sicherheitslücke zu warnen, die ausgenutzt werden könnte. Wenn es keine eindeutigen Anweisungen dazu gibt, die Maintainerinnen des Repositorys zu kontaktieren, welches das Sicherheitsrisiko beinhaltet, haben Sicherheitsforscherinnen möglicherweise keine andere Wahl, als in sozialen Medien über das Sicherheitsrisiko zu informieren, direkte Nachrichten an die Maintainer*innen zu senden oder sogar öffentliche Issues zu erstellen. Diese Situation kann möglicherweise zu einer Veröffentlichung der Details des Sicherheitsrisikos führen.
Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscher*innen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an dich zu melden.
Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem bzw. der Sicherheitsforscher*in privat an einem Fix für das Sicherheitsrisiko zu arbeiten.
Für Organisationsbesitzer*innen und Sicherheitsmanager sind die Vorteile der privaten Berichterstellung die folgenden: * Geringeres Risiko, öffentlich oder über unerwünschte Mittel kontaktiert zu werden.
- Empfangen von Berichten auf derselben Plattform, auf der du sie der Einfachheit halber auflöst
- Der Sicherheitsforscher erstellt oder initiiert den Beratungsbericht im Auftrag von Verwaltern.
- Verwalter erhalten Berichte auf derselben Plattform wie der, die zum Diskutieren und Lösen der Empfehlungen verwendet wird.
- Sicherheitsrisiken sind weniger wahrscheinlich in der Öffentlichkeit zu finden.
- Die Möglichkeit, Details zu Sicherheitsrisiken privat mit Sicherheitsforschern zu besprechen und am Patch zusammenzuarbeiten.
Die folgenden Anweisungen beziehen sich auf die Aktivierung auf Organisationsebene. Informationen zum Aktivieren des Features für ein Repository findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.
Wenn ein neues Sicherheitsrisiko privat für ein Repository gemeldet wird, in dem die private Berichterstellung für Sicherheitsrisiken aktiviert ist, benachrichtigt GitHub Repositorymaintainerinnen und Sicherheitsmanagerinnen in folgenden Fällen:
- Sie beobachten das Repository für alle Aktivitäten.
- Für sie sind Benachrichtigungen für das Repository aktiviert.
Weitere Informationen zum Konfigurieren von Benachrichtigungseinstellungen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.
Aktivieren oder Deaktivieren der privaten Meldung von Sicherheitsrisiken für öffentliche Repositorys, die der Organisation hinzugefügt wurden
Sie können über die GitHub-recommended security configuration die Meldung privater Sicherheitsrisiken für neue zur Organisation hinzugefügte öffentliche Repositorys aktivieren oder deaktivieren oder Sie können eine custom security configuration erstellen. Weitere Informationen finden Sie unter Anwendung der von GitHub empfohlenen Sicherheitskonfiguration in Ihrer Organisation und unter Creating a custom security configuration.
So sieht die Aktivierung der privaten Meldung von Sicherheitsrisiken für ein Repository für Sicherheitsexpert*innen aus
Wenn ein die private Berichterstellung zu Sicherheitsrisiken für ein Repository aktiviert ist, wird Sicherheitsexpert*innen eine neue Schaltfläche auf der Seite Empfehlungen des Repositorys angezeigt. Der Sicherheitsforscher kann auf diese Schaltfläche klicken, um dem Repository-Verwalter privat ein Sicherheitsrisiko zu melden.
Sicherheitsforscher*innen können auch die REST-API verwenden, um Sicherheitsrisiken privat zu melden. Weitere Informationen finden Sie unter „Privates Melden eines Sicherheitsrisikos“.