Verwalten privat gemeldeter Sicherheitsrisiken

Repository-Maintainer können Sicherheitsrisiken verwalten, die privat von Sicherheitsforschern für Repositorys gemeldet wurden, in denen private Sicherheitsrisikomeldungen aktiviert sind.

Wer kann dieses Feature verwenden?

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

In diesem Artikel

Besitzer und Administratoren öffentlicher Repositorys können das private Melden von Sicherheitsrisiken für ihre Repositorys aktivieren. Weitere Informationen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

Informationen zum privaten Melden eines Sicherheitsrisikos

Dank der Möglichkeit zum privaten Melden von Sicherheitsrisiken können Sicherheitsforscher Sicherheitsrisiken mühelos über ein einfaches Formular direkt an dich melden.

Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem Sicherheitsforscher privat an einer Lösung für das Sicherheitsrisiko zu arbeiten.

Verwalten privat gemeldeter Sicherheitsrisiken

Wenn ein neues Sicherheitsrisiko privat für ein Repository gemeldet wird, in dem die private Berichterstellung für Sicherheitsrisiken aktiviert ist, benachrichtigt GitHub Enterprise Cloud Repositorymaintainerinnen und Sicherheitsmanagerinnen in folgenden Fällen:

  • Sie beobachten das Repository für alle Aktivitäten.
  • Für sie sind Benachrichtigungen für das Repository aktiviert.

Weitere Informationen zum Konfigurieren von Benachrichtigungseinstellungen findest du unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Wähle auf der linken Randleiste unter „Berichterstellung“ die Option Empfehlungen aus.

  4. Klicke auf die Empfehlung, die du überprüfen möchtest. Ein Hinweis, der privat gemeldet wurde, hat den Status Triage.

    Screenshot der Liste „Sicherheitshinweise“.

  5. Überprüfe den Bericht sorgfältig, und wähle dann aus, wie du fortfahren möchtest.

    • Wenn du privat an einem Patch zusammenarbeiten möchtest, wähle Mit temporärem privatem Fork beginnen aus, um einen Ort für weitere Diskussionen mit Mitwirkenden zu erstellen. Der Status Triage des vorgeschlagenen Hinweises ändert sich dadurch nicht.

    • Wähle Akzeptieren und als Entwurf öffnen aus, um das gemeldete Sicherheitsrisiko anzunehmen und die Sicherheitsrisikomeldung als Hinweisentwurf auf GitHub zu akzeptieren. Bei dieser Option gilt Folgendes:

      • Die Meldung wird dadurch nicht öffentlich.
      • Die Meldung wird zu einem Entwurf für eine Repositorysicherheitsempfehlung, und du kannst sie auf die gleiche Weise bearbeiten wie alle von dir erstellten Empfehlungsentwürfe. Weitere Informationen zu Sicherheitshinweisen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.

    • Um weitere Informationen zu erhalten oder eine Diskussion mit Melderinnen zu öffnen, kannst du dem Hinweis einen Kommentar hinzufügen. Alle Kommentare sind nur für Melderinnen und Projektmitarbeiter*innen des Hinweises sichtbar.

    • Wenn du über genügend Informationen verfügst, um zu entscheiden, dass das gemeldete Problem kein Sicherheitsrisiko ist, wähle Sicherheitshinweis schließen aus. Füge vor dem Schließen der Empfehlung nach Möglichkeit einen Kommentar hinzu, um zu erläutern, warum du die Meldung nicht als Sicherheitsrisiko betrachtest.

      Screenshot der verfügbaren Optionen für Repository-Maintainer bei der Überprüfung einer extern übermittelten Sicherheitsrisikomeldung.