向您的仓库添加安全策略

您可以通过向您的仓库添加安全策略来提供有关如何报告项目中安全漏洞的说明。

本文内容

关于安全策略

要向人们提供有关报告项目中安全漏洞的说明,您可以将 SECURITY.md 文件添加到仓库的根目录、docs.github 文件夹中。将此文件添加到仓库的这些部分会自动创建一行带有说明的条目,供人们查看。当有人在您的仓库中创建问题时,他们将看到指向您项目安全策略的链接。

您可以为您的组织或个人帐户创建默认安全策略。有关更多信息,请参阅“创建默认社区健康文件”。

提示

为了帮助人们找到您的安全策略,您可以从仓库中的其他位置(例如您的 README 文件)链接到您的 SECURITY.md 文件。有关更多信息,请参阅“关于 README”。

在有人报告项目中的安全漏洞后,您可以使用 GitHub 安全建议来披露、修复和发布有关漏洞的信息。有关在 GitHub 中报告和披露漏洞流程的更多信息,请参阅“关于安全漏洞的协调披露”。有关仓库安全建议的更多信息,请参阅“关于仓库安全建议”。

您还可以加入 GitHub 安全实验室,浏览与安全相关的主题并为安全工具和项目做出贡献。

有关实际 SECURITY.md 文件的示例,请参阅 https://github.com/electron/electron/blob/main/SECURITY.md

向您的仓库添加安全策略

  1. 在 GitHub 上,导航到仓库的主页。

  2. 在仓库名称下,单击** 安全**。如果您看不到“安全”选项卡,请选择****下拉菜单,然后单击**安全**。

    Screenshot of a repository header showing the tabs. The "Security" tab is highlighted by a dark orange outline.

  3. 在左侧边栏的“报告”下,单击** 策略**。

  4. 单击**开始设置**。

  5. 在新的 SECURITY.md 文件中,添加有关项目支持版本以及如何报告漏洞的信息。

  6. 单击**提交更改...**

  7. 在“提交消息”字段中,键入简短且有意义的提交消息,描述您对文件所做的更改。您可以在提交消息中将提交归因于多个作者。有关更多信息,请参阅“使用多个作者创建提交”。

  8. 如果您在 GitHub 上的帐户中关联了多个电子邮件地址,请单击电子邮件地址下拉菜单并选择用作 Git 作者电子邮件地址的电子邮件地址。此下拉菜单中仅显示已验证的电子邮件地址。如果您启用了电子邮件地址隐私,则“no-reply”将是默认的提交作者电子邮件地址。有关“no-reply”电子邮件地址可能采用的确切格式的更多信息,请参阅“设置您的提交电子邮件地址”。

    Screenshot of a GitHub pull request showing a dropdown menu with options to choose the commit author email address. octocat@github.com is selected.

  9. 在提交消息字段下方,决定是将您的提交添加到当前分支还是添加到新分支。如果当前分支是默认分支,则应选择为您的提交创建新分支,然后创建拉取请求。有关更多信息,请参阅“创建拉取请求”。

    Screenshot of a GitHub pull request showing a radio button to commit directly to the main branch or to create a new branch. New branch is selected.

  10. 点击提交更改提出更改

进一步阅读