Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Besitzer und Administratoren öffentlicher Repositorys können Sicherheitsforschern ermöglichen, Sicherheitsrisiken sicher im Repository zu melden, indem sie die private-Sicherheitsrisikoberichterstattung aktivieren.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Wenn Sie private Sicherheitsrisikoberichte aktivieren, erhalten Sicherheitsforscher eine sichere, strukturierte Möglichkeit, Sicherheitsrisiken direkt in Ihrem Repository offenzulegen. Nach der Aktivierung können Forscher Berichte übermitteln, ohne auf öffentliche Offenlegung oder informelle Kanäle zurückgreifen zu müssen. Hintergrundinformationen zu privaten Sicherheitsrisikenberichten und zur koordinierten Offenlegung finden Sie unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

Die Anweisungen in diesem Artikel beziehen sich auf die Aktivierung auf Repositoryebene. Informationen zur Aktivierung der Funktion auf Organisationsebene findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

Aktivieren oder Deaktivieren der Meldung privater Sicherheitsrisiken für ein Repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Klicke unter „Advanced Security rechts neben „Private vulnerability reporting“ auf Enable oder Disable, um das Feature zu aktivieren bzw. zu deaktivieren.

           ![Screenshot der Seite „Code-Sicherheit und -Analyse“, der die Einstellung „Private Schwachstellenmeldung“ festlegt. Die Schaltfläche „Aktivieren“ ist orange umrandet.](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)

Wenn die Berichterstattung über private Sicherheitsrisiken aktiviert ist, sehen Sicherheitsexperten auf der Seite "Empfehlungen" des Repositorys eine Schaltfläche " Sicherheitsanfälligkeit melden", mit der sie einen privaten Bericht übermitteln können.

Screenshot: Schaltfläche „Sicherheitsrisiko melden“ für ein Repository, in dem die private Berichterstellung zu Sicherheitsrisiken aktiviert wurde

Sicherheitsforscher*innen können auch die REST-API verwenden, um Sicherheitsrisiken privat zu melden. Weitere Informationen findest du unter REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.

Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository

Wenn eine neue Sicherheitsanfälligkeit in einem Repository privat gemeldet wird, benachrichtigt GitHub Repository-Verwalter und Sicherheitsmanager, wenn:

  • Sie beobachten das Repository auf alle Aktivitäten.
  • Für sie sind Benachrichtigungen für das Repository aktiviert.

Benachrichtigungen richten sich nach den Benachrichtigungseinstellungen der Benutzer*innen. Du erhältst in folgenden Fällen eine E-Mail-Benachrichtigung:

  • Du überwachst das Repository.
  • Du hast Benachrichtigungen für „Alle Aktivitäten“ aktiviert.
  • Du hast in deinen Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ ausgewählt, dass du Benachrichtigungen per E-Mail erhalten möchtest.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Um mit der Überwachung des Repositorys zu beginnen, wähle Watch aus.

    Screenshot der Hauptseite des Repositorys. Ein Dropdownmenü mit dem Titel „Überwachen“ ist in dunklem Orange eingerahmt.

  3. Klicke im Dropdownmenü auf Jede Aktivität.

  4. Navigiere zu den Benachrichtigungseinstellungen für dein persönliches Konto. Diese sind unter https://github.com/settings/notifications verfügbar.

  5. Wähle auf der Seite mit den Benachrichtigungseinstellungen unter „Abonnements“ > „Beobachten“ die Dropdownliste Mich benachrichtigen aus.

  6. Wähle „E-Mail“ als Benachrichtigungsoption aus, und klicke dann auf Speichern.

    Screenshot der Benachrichtigungseinstellungen für ein Benutzerkonto. Unter „Abonnements“ und ‚Überwachen‘ ist ein Kontrollkästchen mit der Überschrift „E-Mail“ orange umrandet.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.