公共仓库的所有者和管理员可以在其仓库上启用私下漏洞报告。请参阅 为仓库配置私下漏洞报告。
注意
- 如果您拥有公共仓库的管理员或安全权限,则无需提交漏洞报告。相反,直接创建草稿安全建议。请参阅 创建仓库安全建议。
- 私下漏洞报告与仓库的
SECURITY.md文件是分开的。只能在启用了此功能的仓库中私下报告漏洞,并且无需遵循SECURITY.md中的说明。
如果公共仓库启用了私下漏洞报告,任何人都可以向仓库维护者提交私下漏洞报告。
如果仓库未启用私下漏洞报告,您需要按照仓库的安全策略中的说明来启动报告流程,或创建议题请求维护者提供首选的安全联系人。请参阅 关于安全漏洞的协调披露。
-
在 GitHub 上,导航至仓库的主页面。
-
在仓库名称下,点击 安全与质量 选项卡。如果您看不到 “在“安全与质量”选项卡中,选择 下拉菜单,然后点击 安全与质量。
-
点击 报告漏洞 打开建议表单。
-
填写建议详情表单。
提示
在此表单中,仅标题和描述为必填项。(在仓库维护者发起的一般草稿安全建议表单中,还需指定生态系统。)然而,我们建议安全研究人员在表单中提供尽可能多的信息,以便维护者能够对提交的报告作出明智的决定。您可以采用 GitHub Security Lab 的安全研究人员使用的模板,该模板位于
github/securitylab仓库。欲了解可用字段的更多信息以及填写表单的指南,请参阅 创建仓库安全建议 和 编写仓库安全建议的最佳实践。
-
在表单底部,点击 提交报告。GitHub 将显示一条消息,告知您已通知维护者,且您将获得此安全建议的待确认署名。
提示
报告提交后,GitHub 会自动将漏洞报告人添加为协作者,并在提议的建议中列为署名用户。
-
如果您想开始修复该问题,可选择点击 启动临时私有分叉。请注意,只有仓库维护者才能将该私有分叉的更改合并回上游仓库。
后续步骤取决于仓库维护者的处理方式。请参阅 管理私下报告的安全漏洞。