Управление уязвимостями безопасности в частном порядке

Средства поддержки репозиториев могут управлять уязвимостями безопасности, которые были частно сообщены исследователями по безопасности для репозиториев, в которых включена частная отчетность об уязвимостях.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

Когда исследователь безопасности сообщает об уязвимости в частном порядке, вы получите уведомление и можете принять его, задать дополнительные вопросы или отклонить его. Если вы принимаете отчет, вы готовы сотрудничать с исправлением уязвимости в частном порядке с исследователем безопасности.

Когда новая уязвимость приватно сообщается в репозитории, GitHub уведомляет администраторов репозиториев и менеджеров безопасности, если:

  • Они следят за репозиторием всей активности или подписаны на уведомления «Оповещения о безопасности».
  • У них есть уведомления, включенные для репозитория.

Дополнительные сведения о настройке параметров уведомлений см. в разделе Настройка отчетов о частных уязвимостях для репозитория.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

  4. Щелкните рекомендации, которые вы хотите просмотреть. Сообщаемая в частном порядке рекомендация имеет статус Triage.

    Снимок экрана: список "Помощники по безопасности".

  5. Внимательно просмотрите отчет, а затем выберите, как продолжить.

    • Чтобы совместно работать с исправлением в частном порядке, нажмите кнопку "Пуск временной закрытой вилки ", чтобы создать место для дальнейших обсуждений с участником. Это не изменяет состояние предлагаемых рекомендаций Triage.

    • Чтобы принять сообщаемую уязвимость, нажмите кнопку "Принять" и откройте проект отчета об уязвимости в качестве проекта рекомендаций по GitHub. Если выбрать этот параметр, выполните указанные ниже действия.

      • Это не делает отчет общедоступным.
      • Отчет становится проектом рекомендаций по безопасности репозитория, и вы можете работать над ним так же, как и любые создаваемые вами проекты рекомендаций. Дополнительные сведения о помощниках по безопасности см. в разделе Сведения о помощниках по безопасности репозитория.

    • Чтобы запросить дополнительную информацию или открыть обсуждение с репортером, вы можете прокомментировать рекомендации. Любые комментарии видны только репортеру и любым участникам совместной работы по консультативным вопросам.

    • Если у вас достаточно информации, чтобы определить, что проблема, описанная репортером, не является угрозой безопасности, нажмите кнопку Закрыть рекомендации по безопасности. По возможности следует добавить комментарий, объясняющий, почему вы не рассматриваете отчет о риске безопасности, прежде чем закрыть рекомендации.

      Снимок экрана: параметры, доступные ответственный за репозиторий при просмотре отчета об уязвимостях, отправленного внешним образом.