为组织配置私有漏洞报告

组织所有者和安全管理员可以通过为其所有公共代码库启用私有漏洞报告,允许安全研究人员安全地报告组织内代码库中的漏洞。

谁可以使用此功能?

任何拥有组织管理员权限或组织内安全管理员角色的人员都可以为该组织启用和禁用私有漏洞报告。

本文内容

关于私下报告安全漏洞

安全研究人员通常有责任提醒用户可能被利用的漏洞。如果关于联系包含漏洞的代码库维护人员的说明不清楚,安全研究人员可能别无选择,只能在社交媒体上发布有关漏洞的信息,向维护人员发送直接消息,甚至创建公开问题。这种情况可能导致漏洞详细信息被公开披露。

私有漏洞报告使安全研究人员能够使用简单的表单直接向您报告漏洞。

当安全研究人员私下报告漏洞时,您会收到通知,并且可以选择接受它、提出更多问题或拒绝它。如果您接受报告,您就可以准备与安全研究人员私下合作修复漏洞。

对于组织所有者和安全管理员,使用私有漏洞报告的好处包括:

  • 降低公开或通过不希望的方式被联系的风险。
  • 在同一平台上接收报告并解决它们,以简化操作。
  • 安全研究人员代表维护人员创建或至少发起安全公告报告。
  • 维护人员在用于讨论和解决安全公告的同一平台上接收报告。
  • 漏洞不太可能暴露在公众视野中。
  • 有机会与安全研究人员私下讨论漏洞详细信息并协作修复补丁。

以下说明指的是在组织级别启用功能。有关为代码库启用此功能的信息,请参阅“为代码库配置私有漏洞报告”。

当在启用了私有漏洞报告的代码库上私下报告新的漏洞时,如果满足以下条件,GitHub 会通知代码库维护人员和安全管理员:

  • 他们正在监视所有活动的代码库。
  • 他们已为该代码库启用了通知。

有关配置通知首选项的更多信息,请参阅“为代码库配置私有漏洞报告”。

启用或禁用添加到组织的公共代码库的私有漏洞报告

您可以使用 GitHub 推荐的安全配置,为添加到组织的新公共存储库启用或禁用私有漏洞报告,或者您可以创建自定义安全配置。有关更多信息,请参阅“在您的组织中应用 GitHub 推荐的安全配置”和“创建自定义安全配置”。

安全研究人员如何看待存储库启用了私有漏洞报告

当为存储库启用私有漏洞报告时,安全研究人员将在存储库的“安全建议”页面中看到一个新的按钮。安全研究人员可以点击此按钮,将安全漏洞私下报告给存储库维护者。

Screenshot showing the "Report a vulnerability" button for a repository where private vulnerability reporting has been enabled.

安全研究人员还可以使用 REST API 私下报告安全漏洞。有关更多信息,请参阅“私下报告安全漏洞”。