公共代码库的所有者和管理员可以在其代码库上启用私有漏洞报告。更多信息,请参阅“为代码库配置私有漏洞报告”。
注意
- 如果您拥有公共代码库的管理员或安全权限,则无需提交漏洞报告。您可以直接创建一个安全公告草稿。更多信息,请参阅“创建代码库安全公告”。
- 私下报告代码库中漏洞的功能与该代码库根目录或 `docs` 目录中是否存在 `SECURITY.md` 文件无关。
- `SECURITY.md` 文件包含代码库的安全策略。代码库管理员可以添加和使用此文件来提供 *公开* 的说明,说明如何在他们的代码库中报告安全漏洞。更多信息,请参阅“向您的代码库添加安全策略”。
- 您只能私下报告已启用私有漏洞报告的代码库中的漏洞,并且您不必遵循 `SECURITY.md` 文件中的说明。此报告过程完全私密,GitHub 会直接通知代码库管理员您的提交。
关于私下报告安全漏洞
安全研究人员常常觉得有责任提醒用户注意可能被利用的漏洞。如果没有关于联系包含漏洞的代码库维护者的明确说明,安全研究人员可能别无选择,只能在社交媒体上发布有关漏洞的信息,向维护者发送直接消息,甚至创建公共问题。这种情况可能导致公开披露漏洞详细信息。
私有漏洞报告使安全研究人员能够使用简单的表单直接向代码库维护者报告漏洞。
对于安全研究人员而言,使用私有漏洞报告的好处是:
- 减少挫败感,减少尝试找出如何联系维护者的时间。
- 一个更流畅的披露和讨论漏洞详细信息的过程。
- 有机会与代码库维护者私下讨论漏洞详细信息。
注意
如果代码库未启用私有漏洞报告,则需要按照代码库安全策略中的说明启动报告过程,或创建一个问题,要求维护者提供首选的安全联系人。更多信息,请参阅“关于安全漏洞的协调披露”。
私下报告安全漏洞
如果公共仓库启用了私有漏洞报告功能,任何人都可以向仓库维护者私下报告安全漏洞。用户还可以评估公共仓库的整体安全性并建议安全策略。更多信息,请参阅“评估仓库的安全设置”。
-
在 GitHub 上,导航到仓库的主页。
-
在仓库名称下,单击 安全。如果您看不到“安全”选项卡,请选择下拉菜单,然后单击安全。
-
单击报告漏洞以打开咨询表单。
-
填写咨询详细信息表单。
提示
在此表单中,只有标题和描述是必填项。(在仓库维护者发起的通用草稿安全咨询表单中,还要求指定生态系统。)但是,我们建议安全研究人员在表单中提供尽可能多的信息,以便维护者能够对提交的报告做出明智的决定。您可以采用 GitHub 安全实验室的安全研究人员使用的模板,该模板可在“
github/securitylab仓库”中找到。有关可用字段的更多信息以及填写表单的指导,请参阅“创建仓库安全咨询”和“撰写仓库安全咨询的最佳实践”。
-
在表单底部,单击提交报告。GitHub 将显示一条消息,告知您维护者已收到通知,并且您为此安全咨询获得了待处理的积分。
提示
提交报告后,GitHub 会自动将漏洞报告者添加为协作者和建议咨询中的已认证用户。
-
可选择单击启动临时私有fork,如果您想开始修复问题。请注意,只有仓库维护者才能将来自该私有fork的更改合并到父仓库中。
下一步取决于仓库维护者采取的操作。更多信息,请参阅“管理私下报告的安全漏洞”。