Настройка отчетов о частных уязвимостях для репозитория

Владельцы и администраторы общедоступных репозиториев могут позволить исследователям безопасности безопасно сообщать об уязвимостях в репозитории, включив отчеты о частных уязвимостях.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Включение частной отчетности о уязвимостях даёт исследователям безопасности безопасный и структурированный способ раскрывать уязвимости непосредственно в вашем репозитории. После включения исследователи могут подавать отчёты без использования публичного раскрытия или неформальных каналов. Для информации о частной отчетности о уязвимостях и их вписывающейся в координированное раскрытие информации см. Сведения о скоординированном раскрытии информации об уязвимостях безопасности.

Инструкции, описанные в этой статье, относятся к включению на уровне репозитория. Сведения о включении функции на уровне организации см. в разделе Сведения о скоординированном раскрытии информации об уязвимостях безопасности.

Включение или отключение отчетов о частных уязвимостях для репозитория

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Advanced Security" справа от "Отчеты о частных уязвимостях" нажмите кнопку "Включить или отключить", чтобы включить или отключить функцию соответственно.

           ![Снимок экрана: страница "Безопасность кода и анализ", на которой показан параметр "Отчеты об уязвимостях приватных уязвимостей". Кнопка "Включить" выделена оранжевым цветом.](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)

Когда включено отчёт о приватных уязвимостях, исследователи безопасности видят кнопку «Сообщить об уязвимости » на странице репозитория «Предупреждения», которая позволяет отправить приватный отчёт.

Снимок экрана: кнопка "Сообщить об уязвимости" для репозитория, в котором включена частная отчетность об уязвимостях.

Исследователи по безопасности также могут использовать REST API для частного отчета об уязвимостях безопасности. См . раздел AUTOTITLE.

Настройка уведомлений для отчетов о частных уязвимостях

Когда новая уязвимость приватно сообщается в репозитории, GitHub уведомляет администраторов репозиториев и менеджеров безопасности, если:

  • Они следят за репозиторием всей активности или подписаны на уведомления «Оповещения о безопасности».
  • У них есть уведомления, включенные для репозитория.

Уведомления зависят от настроек уведомлений пользователя. Если вы получите уведомление по электронной почте:

  • Вы смотрите репозиторий с выбранной «Вся активность » или с оповещения о безопасности (доступно в разделе «Пользовательство»).
  • В настройках уведомлений, в разделе «Подписки», затем в «Наблюдение», вы выбрали получение уведомлений по электронной почте.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Чтобы начать смотреть репозиторий, выберите Watch.

    Снимок экрана: главная страница репозитория. Раскрывающееся меню с названием "Смотреть" выделено оранжевым контуром.

  3. В выпадающем меню выберите «Вся активность » для получения уведомлений о всей активности, или выберите «Пользовательский», затем « Оповещения безопасности » — чтобы получать уведомления только о безопасности.

  4. Перейдите к параметрам уведомлений для личная учетная запись. Они доступны по адресу https://github.com/settings/notifications.

  5. На странице настроек уведомлений, в разделе «Подписки», затем в разделе «Просмотр» нажмите на выпадающее меню «Уведомить меня ».

  6. Выберите "Электронная почта" в качестве параметра уведомления, а затем нажмите кнопку "Сохранить".

    Снимок экрана: параметры уведомлений для учетной записи пользователя. В разделе "Подписки" и "Просмотр" флажок с заголовком "Электронная почта" указан оранжевый.

Дополнительные сведения о настройке параметров уведомлений см. в разделе Управление параметрами безопасности и анализа для репозитория и настройка параметров часов для отдельного репозитория.