Informationen zum Auswerten der Sicherheitseinstellungen eines Repositorys
Die Auswertung der Sicherheitseinstellungen eines öffentliches Repository kann Sicherheitsexpertinnen dabei helfen, den Sicherheitsstatus des Repositorys zu verstehen. Anhand dieser Informationen kannst du entscheiden, ob du mit den Repositoryverwalterinnen in Kontakt treten möchtest, z. B. indem du eine Sicherheitslücke im Repository meldest.
Wenn ein Repository öffentlich ist, stehen allen Benutzern und Benutzerinnen allgemeine Informationen zu den Sicherheitseinstellungen des Repositorys zur Verfügung. Du kannst beispielsweise sehen, ob das Repository über eine Sicherheitsrichtlinie verfügt und ob die Meldung privater Sicherheitsrisiken aktiviert ist. Du kannst auch veröffentlichte und geschlossene Sicherheitsempfehlungen für das Repository anzeigen. Wenn einem Repository keine Sicherheitsrichtlinie zugeordnet ist, kannst du eine vorschlagen. Wenn für das Repository die Meldung privater Sicherheitsrisiken aktiviert ist, kannst du Sicherheitsrisiken privat direkt an Repositoryverwalter*innen melden.
Wenn du über Administratorberechtigungen für das Repository verfügst und sich dieses im Besitz Organisation befindest, kannst du ausführlichere Informationen zu den Sicherheitseinstellungen des Repositorys in der Sicherheitsübersicht anzeigen. Weitere Informationen zur Sicherheitsübersicht findest du unter Informationen zur Sicherheitsübersicht.
Wenn ein Repository privat ist, werden die Sicherheitseinstellungen nur angezeigt, wenn du über Administratorberechtigungen für das Repository verfügst oder spezielle Sicherheitsberechtigungen für das Repository erhalten hast, z. B. als organisationsweiter Sicherheits-Managerin.
Wenn Sie den Sicherheitsstatus von Repositorys im großen Maßstab auswerten möchten, können Sie mithilfe der API überprüfen, ob einige Sicherheitseinstellungen für Repositorys aktiviert sind, z. B. private Sicherheitsrisikoberichte. Weitere Informationen findest du unter REST-API-Endpunkte für Repositorys.
Vorschlagen einer Sicherheitsrichtlinie für ein Repository
Wenn du nicht über Administrator- oder Sicherheitsberechtigungen für eine öffentliches Repository verfügst, kannst du den Repositoryverwalterinnen dennoch eine Sicherheitsrichtlinie vorschlagen, sofern noch keine vorhanden ist. Die Repositoryverwalterinnen können dann deinen Vorschlag annehmen oder ablehnen. Wenn die Repositoryverwalter*innen deinen Vorschlag annehmen, wird die Sicherheitsrichtlinie dem Repository zugeordnet.
- Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
- Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
- Wenn das Repository über eine Sicherheitsrichtlinie verfügt, wird sie angezeigt. Wenn dem Repository keine Sicherheitsrichtlinie zugeordnet ist, klicke auf Richtlinie vorschlagen.
- Eine „SECURITY.md“-Datei wird im Standardbranch des Repositorys erstellt. Die Datei enthält eine Vorlage für eine Sicherheitsrichtlinie. Du kannst die Datei bearbeiten, um deine vorgeschlagene Sicherheitsrichtlinie hinzuzufügen.
- Wenn du fertig bist, klicke auf Änderungen committen.
- Fülle das Dialogfeld Änderungen committen aus.
- Gib unter „Commitnachricht“ eine Commitnachricht ein.
- Beschreibe optional unter „Erweiterte Beschreibung“ die vorgenommenen Änderungen.
- Wähle „Neuen Branch für diesen Commit erstellen und Pull Request starten“ aus.
- Klicke auf Änderungen committen.
- Klicke auf Pull Request erstellen.
- Hinterlasse optional einen Kommentar.
- Klicke auf Pull Request erstellen.
Melden einer Sicherheitslücke in einem Repository
Wenn du nicht über Administrator- oder Sicherheitsberechtigungen für eine öffentliches Repository verfügst, kannst du Repositoryverwalterinnen trotzdem privat ein Sicherheitsrisiko melden, wenn die Meldung privater Sicherheitsrisiken aktiviert ist. Die Repositoryverwalterinnen können dann deinen Bericht annehmen oder ablehnen. Wenn die Repositoryverwalter*innen deinen Bericht akzeptieren, wird eine Sicherheitsempfehlung für das Repository erstellt.
Hinweis: Wenn das private Melden von Sicherheitsrisiken für das Repository nicht aktiviert ist, musst du den Meldeprozess initiieren, indem du die Anweisungen in der Sicherheitsrichtlinie für das Repository befolgst oder ein Issue erstellst, in dem du den bzw. die Maintainer*in nach einem bevorzugten Sicherheitskontakt fragst. Weitere Informationen findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Klicke auf Sicherheitsrisiko melden, um das Empfehlungsformular zu öffnen.
-
Fülle das Formular für die Empfehlungsdetails aus.
Tipp: In diesem Formular sind nur der Titel und die Beschreibung obligatorisch. (Im allgemeinen Entwurf für das Formular für Sicherheitsempfehlungen, das der bzw. die Repository-Maintainerin initiiert, ist die Angabe eines Ökosystems ebenfalls erforderlich.) Es wird jedoch empfohlen, dass Sicherheitsforscherinnen so viele Informationen wie möglich im Formular angeben, damit die Maintainer*innen eine fundierte Entscheidung in Bezug auf die übermittelte Meldung treffen können. Sie können die von unseren Sicherheitsexperten verwendete Vorlage aus GitHub Security Lab übernehmen, die im „
github/securitylab
-Repository“ verfügbar ist.Weitere Informationen zu den verfügbaren Feldern und Leitfäden zum Ausfüllen des Formulars findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository und Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys.
-
Klicke unten im Formular auf Meldung übermitteln. GitHub zeigt dann eine Meldung an, dass die Maintainer*innen benachrichtigt wurden und eine ausstehende Erwähnung für dich in Bezug auf diese Sicherheitsempfehlung vorliegt.
Tipp: Wenn die Meldung übermittelt wird, fügt GitHub die Person, die das Sicherheitsrisiko gemeldet hat, automatisch als Projektmitarbeiterin und erwähnten Benutzer*in in der vorgeschlagenen Empfehlung hinzu.
-
Klicke optional auf Mit temporärem privatem Fork beginnen, wenn du beginnen möchtest, das Problem zu beheben. Beachte, dass nur Repositorymaintainer*innen Änderungen aus diesem privaten Fork mit dem übergeordneten Repository zusammenführen können.