关于私下报告安全漏洞
安全研究人员通常有责任提醒用户注意可能被利用的漏洞。如果关于联系包含漏洞的仓库维护人员的说明不清楚,安全研究人员可能别无选择,只能在社交媒体上发布有关漏洞的信息,向维护人员发送直接消息,甚至创建公开问题。这种情况可能会导致公开披露漏洞详细信息。
私有漏洞报告使安全研究人员能够使用简单的表单直接向您报告漏洞。
当安全研究人员私下报告漏洞时,您会收到通知,并且可以选择接受它、询问更多问题或拒绝它。如果您接受该报告,您就可以准备好与安全研究人员私下合作修复该漏洞。
对于维护人员来说,使用私有漏洞报告的好处是
- 降低公开或通过不希望的方式被联系的风险。
- 在同一个平台上接收报告并解决它们,以简化操作
- 安全研究人员代表维护人员创建或至少发起安全建议报告。
- 维护人员在用于讨论和解决安全建议的同一平台上接收报告。
- 漏洞不太可能暴露在公众视野中。
- 有机会与安全研究人员私下讨论漏洞详细信息并合作进行修补。
本文中的说明指的是在仓库级别启用。有关在组织级别启用该功能的信息,请参阅“为组织配置私有漏洞报告”。
启用或禁用仓库的私有漏洞报告
-
在 GitHub 上,导航到仓库的主页。
-
在您的仓库名称下,单击 **设置**。如果您看不到“设置”选项卡,请选择****下拉菜单,然后单击**设置**。
-
在侧边栏的“安全”部分,点击 代码安全和分析。
-
在“代码安全和分析”下,在“私有漏洞报告”右侧,点击启用或禁用,分别启用或禁用此功能。
当为某个仓库启用私有漏洞报告时,安全研究人员将在该仓库的建议页面中看到一个新的按钮。安全研究人员可以点击此按钮,向仓库维护者私下报告安全漏洞。
安全研究人员还可以使用 REST API 私下报告安全漏洞。有关更多信息,请参阅“私下报告安全漏洞”。
配置私有漏洞报告的通知
当在启用了私有漏洞报告的仓库上私下报告新的漏洞时,如果满足以下条件,GitHub 会通知仓库维护者和安全管理员
- 他们正在监视仓库的所有活动。
- 他们已为仓库启用了通知。
通知取决于用户的通知偏好设置。如果您满足以下条件,则会收到电子邮件通知
- 您正在监视仓库。
- 您已启用“所有活动”的通知。
- 在您的通知设置中,在“订阅”下,然后在“监视”下,您已选择通过电子邮件接收通知。
-
在 GitHub 上,导航到仓库的主页。
-
要开始监视仓库,请选择 监视。
-
在下拉菜单中,点击所有活动。
-
导航到您个人帐户的通知设置。这些设置可在 https://github.com/settings/notifications 访问。
-
在您的通知设置页面上,在“订阅”下,然后在“监视”下,选择通知我下拉菜单。
-
选择“电子邮件”作为通知选项,然后点击保存。
有关设置通知偏好设置的更多信息,请参阅“管理仓库的安全和分析设置”和“配置单个仓库的监视设置”。