管理私下报告的安全漏洞

对于启用了私有漏洞报告的代码库,代码库维护者可以管理安全研究人员私下向其报告的安全漏洞。

谁可以使用此功能?

任何拥有代码库管理员权限的人都可以查看、审查和管理代码库的私下报告的漏洞。

本文内容

公共代码库的所有者和管理员可以在其代码库上启用私有漏洞报告。有关更多信息,请参阅“配置代码库的私有漏洞报告”。

关于私下报告安全漏洞

私有漏洞报告使安全研究人员可以使用简单的表单直接向您报告漏洞。

当安全研究人员私下报告漏洞时,您会收到通知,可以选择接受、询问更多问题或拒绝。如果您接受报告,则可以与安全研究人员私下协作修复漏洞。

管理私下报告的安全漏洞

当在启用了私有漏洞报告的代码库上私下报告新的漏洞时,如果满足以下条件,GitHub 会通知代码库维护者和安全管理员:

  • 他们正在关注代码库的所有活动。
  • 他们已为代码库启用了通知。

有关配置通知首选项的更多信息,请参阅“配置代码库的私有漏洞报告”。

  1. 在 GitHub 上,导航到代码库的主页。

  2. 在代码库名称下,单击 安全。如果您看不到“安全”选项卡,请选择下拉菜单,然后单击安全

    Screenshot of a repository header showing the tabs. The "Security" tab is highlighted by a dark orange outline.

  3. 在左侧边栏的“报告”下,单击 安全公告

  4. 单击您要查看的安全公告。私下报告的安全公告的状态为Triage

    Screenshot of a "Security Advisories" list.

  5. 仔细查看报告,然后选择如何继续。

    • 要在私下协作修补程序,请单击启动临时私有fork以创建用于与贡献者进一步讨论的地方。这不会更改建议的安全公告从Triage的状态。

    • 要接受报告的漏洞,请单击接受并作为草稿打开以在 GitHub 上将漏洞报告作为草稿安全公告接受。如果您选择此选项,

      • 这不会公开报告。
      • 该报告将成为草稿代码库安全公告,您可以像创建任何草稿安全公告一样处理它。有关安全公告的更多信息,请参阅“关于代码库安全公告”。

    • 要索取更多信息或与报告者进行讨论,您可以对安全公告发表评论。任何评论都仅对报告者和安全公告的任何协作者可见。

    • 如果您有足够的信息来确定报告者描述的问题并非安全风险,请单击关闭安全公告。如果可能,您应该在关闭安全公告之前添加一条评论,解释为什么您认为该报告并非安全风险。

      Screenshot showing the options available to the repository maintainer when reviewing an externally submitted vulnerability report.