当安全研究人员私下报告漏洞时,你会收到通知,并可以选择接受、提出更多问题或拒绝。如果接受报告,你即可与安全研究人员私下合作修复该漏洞。
当仓库中私下报告新的漏洞时,GitHub 会通知仓库管理员和安全负责人,条件是
- 他们正在关注仓库的所有活动或已订阅“安全警报”通知。
- 他们已为该仓库启用通知。
有关配置通知偏好的更多信息,请参阅 为仓库配置私下漏洞报告。
-
在 GitHub 上,导航至仓库的主页面。
-
在仓库名称下,点击 安全与质量 选项卡。如果您看不到 “在“安全与质量”选项卡中,选择 下拉菜单,然后点击 安全与质量。
-
在左侧边栏的 “报告” 下,点击 安全建议。
-
点击想要审查的建议。私下报告的建议状态为
Triage。
-
仔细审查报告,然后选择后续操作。
-
若要私下协作补丁,点击 开始临时私有分叉,为与贡献者的进一步讨论创建空间。这不会改变提议建议的状态,仍为
Triage。 -
若要接受报告的漏洞,点击 接受并作为草稿打开,将漏洞报告接受为 GitHub 上的草稿建议。如果选择此选项
- 这不会使报告公开。
- 该报告会成为仓库安全草稿建议,你可以像处理任何草稿建议一样进行工作。有关安全建议的更多信息,请参阅 关于仓库安全建议。
-
若要请求更多信息或与报告人展开讨论,你可以在建议上发表评论。所有评论仅对报告人和建议的协作者可见。
-
如果你拥有足够信息确认报告人描述的问题并非安全风险,请点击 关闭安全建议。在可能的情况下,关闭建议前应添加评论,解释为何认为该报告不构成安全风险。
-
