Privately reporting a security vulnerability

Some public repositories configure security advisories so that anyone can report security vulnerabilities directly and privately to the maintainers.

Кто может использовать эту функцию?

Anyone can privately report a security vulnerability to repository maintainers.

Владельцы и администраторы общедоступных репозиториев могут включать отчеты о частных уязвимостях в своих репозиториях. См . раздел AUTOTITLE.

Примечание.

  • If you have admin or security permissions for a public repository, you don’t need to submit a vulnerability report. Instead, create a draft security advisory directly. See Creating a repository security advisory.
  • Private vulnerability reporting is separate from a repository’s SECURITY.md file. You can only report vulnerabilities privately for repositories where this feature is enabled, and you don’t need to follow the instructions in SECURITY.md.

If a public repository has private vulnerability reporting enabled, anyone can submit a private vulnerability report to the repository maintainers.

If the repository doesn't have private vulnerability reporting enabled, you need to initiate the reporting process by following the instructions in the security policy for the repository, or by creating an issue asking the maintainers for a preferred security contact. See Coordinated disclosure of security vulnerabilities.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. Нажмите кнопку "Сообщить об уязвимости ", чтобы открыть форму рекомендаций.

  4. Заполните форму сведений о рекомендациях.

    Совет

    В этой форме обязательны только заголовок и описание. (В общей форме рекомендаций по обеспечению безопасности, которая инициирует ответственный за репозиторий, указывая экосистему, также требуется.) Тем не менее, мы рекомендуем исследователям безопасности предоставить максимально подробную информацию о форме, чтобы поддержку могли принять информированное решение о отправленном отчете. Вы можете применить шаблон, используемый нашими исследователями по безопасности из GitHub Security Lab, который доступен в репозиторииgithub/securitylab.

    Дополнительные сведения о полях, доступных и рекомендациях по заполнению формы, см. в разделе [AUTOTITLE и Creating a repository security advisory](/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/best-practices-for-writing-repository-security-advisories).

  5. В нижней части формы нажмите кнопку "Отправить отчет". GitHub отобразит сообщение, позволяющее узнать, что обслуживающие были уведомлены и что у вас есть ожидающий кредит для этого рекомендации по обеспечению безопасности.

    Совет

    При отправке отчета GitHub автоматически добавляет репортер уязвимости в качестве участника совместной работы и в качестве кредитованного пользователя в предлагаемых рекомендациях.

  6. При необходимости нажмите кнопку "Пуск временной закрытой вилки ", если вы хотите начать устранение проблемы. Обратите внимание, что только ответственный за репозиторий может объединять изменения из этого закрытого вилки в родительский репозиторий.

    Снимок экрана: нижняя часть рекомендаций по безопасности. Кнопка, помеченная как "Пуск временной вилки", описывается в темно-оранжевый цвет.

The next steps depend on the action taken by the repository maintainer. See Managing privately reported security vulnerabilities.