Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Besitzer und Administratoren öffentlicher Repositorys können Sicherheitsforschern ermöglichen, Sicherheitsrisiken sicher im Repository zu melden, indem sie die private-Sicherheitsrisikoberichterstattung aktivieren.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Wenn Sie private Sicherheitsrisikoberichte aktivieren, erhalten Sicherheitsforscher eine sichere, strukturierte Möglichkeit, Sicherheitsrisiken direkt in Ihrem Repository offenzulegen. Nach der Aktivierung können Forscher Berichte übermitteln, ohne auf öffentliche Offenlegung oder informelle Kanäle zurückgreifen zu müssen. Hintergrundinformationen zu privaten Sicherheitsrisikenberichten und zur koordinierten Offenlegung finden Sie unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

Die Anweisungen in diesem Artikel beziehen sich auf die Aktivierung auf Repositoryebene. Informationen zur Aktivierung der Funktion auf Organisationsebene findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

Aktivieren oder Deaktivieren der Meldung privater Sicherheitsrisiken für ein Repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke unter „Advanced Security rechts neben „Private vulnerability reporting“ auf Enable oder Disable, um das Feature zu aktivieren bzw. zu deaktivieren.

           ![Screenshot der Seite „Code-Sicherheit und -Analyse“, der die Einstellung „Private Schwachstellenmeldung“ festlegt. Die Schaltfläche „Aktivieren“ ist orange umrandet.](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)

{Daten wiederverwendbar. Sicherheitsberatung. Private Schwachstellen-Berichterstattung durch Sicherheitsexperten}

Sicherheitsforscher*innen können auch die REST-API verwenden, um Sicherheitsrisiken privat zu melden. Weitere Informationen findest du unter REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.

Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Wenn eine neue Sicherheitsanfälligkeit in einem Repository privat gemeldet wird, benachrichtigt GitHub Repositoryadministratoren und Sicherheitsmanager, wenn:

  • Du beobachtest das Repository mit der Option Alle Aktivitäten oder hast die Benachrichtigung „Sicherheitswarnungen“ abonniert.
  • Für sie sind Benachrichtigungen für das Repository aktiviert.

Benachrichtigungen richten sich nach den Benachrichtigungseinstellungen der Benutzer*innen. Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du beobachtest das Repository mit der Auswahl Alle Aktivitäten oder mit der Auswahl Sicherheitswarnungen (verfügbar unter Angepasst).
  • In Ihren Benachrichtigungseinstellungen haben Sie unter "Abonnements" und dann unter "Überwachen" die Option ausgewählt, Benachrichtigungen per E-Mail zu empfangen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Um mit der Überwachung des Repositorys zu beginnen, wähle Watch aus.

    Screenshot der Hauptseite des Repositorys. Ein Dropdownmenü mit dem Titel „Überwachen“ ist in dunklem Orange eingerahmt.

  3. Wählen Sie im Dropdownmenü "Alle Aktivitäten " aus, um Benachrichtigungen für alle Aktivitäten zu empfangen, oder wählen Sie "Benutzerdefiniert" und dann "Sicherheitswarnungen ", um Benachrichtigungen nur für Sicherheitswarnungen zu erhalten.

  4. Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.

  5. Klicken Sie auf der Seite "Benachrichtigungseinstellungen" unter "Abonnements" und dann unter "Beobachtungen" auf die Dropdown-Liste "Benachrichtige mich".

  6. Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.

    Screenshot der Benachrichtigungseinstellungen für ein Benutzerkonto. Unter „Abonnements“ und ‚Überwachen‘ ist ein Kontrollkästchen mit der Überschrift „E-Mail“ orange umrandet.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.