Privates Melden eines Sicherheitsrisikos

Bei einigen öffentlichen Repositorys sind die Sicherheitsempfehlungen so konfiguriert, dass jede Person Sicherheitsrisiken direkt und privat an die Maintainer*innen melden kann.

Wer kann dieses Feature verwenden?

Anyone can privately report a security vulnerability to repository maintainers.

Besitzer und Administratoren öffentlicher Repositorys können das private Melden von Sicherheitsrisiken für ihre Repositorys aktivieren. Weitere Informationen finden Sie unter Konfigurieren der Meldung privater Sicherheitsrisiken für ein Repository.

Hinweis

  • Wenn Sie über Administrator- oder Sicherheitsberechtigungen für ein öffentliches Repository verfügen, müssen Sie keinen Sicherheitsrisikobericht übermitteln. Erstellen Sie stattdessen direkt einen Sicherheitsempfehlungsentwurf. Weitere Informationen findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository.
  • Private Sicherheitsrisikoberichte sind von der Datei eines Repositorys SECURITY.md getrennt. Sie können Sicherheitsrisiken nur privat für Repositorys melden, in denen dieses Feature aktiviert ist, und Sie müssen die Anweisungen SECURITY.mdnicht befolgen.

Wenn ein öffentliches Repository die Meldung über private Sicherheitsrisiken aktiviert hat, kann jeder einen privaten Sicherheitsrisikobericht an die Repository-Betreuer übermitteln. Benutzer können auch die allgemeine Sicherheit eines öffentlichen Repositorys auswerten und eine Sicherheitsrichtlinie vorschlagen. Weitere Informationen findest du unter Auswerten der Sicherheitseinstellungen eines Repositorys.

Wenn das Repository keine privaten Sicherheitsrisikoberichte aktiviert hat, müssen Sie den Berichterstellungsprozess initiieren, indem Sie die Anweisungen in der Sicherheitsrichtlinie für das Repository befolgen oder indem Sie ein Problem erstellen, das die Betreuer nach einem bevorzugten Sicherheitskontakt fragt. Weitere Informationen findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke auf Sicherheitsrisiko melden, um das Empfehlungsformular zu öffnen.

  4. Fülle das Formular für die Empfehlungsdetails aus.

    Tipp

    In diesem Formular sind nur der Titel und die Beschreibung obligatorisch. (Im allgemeinen Entwurf für das Formular für Sicherheitsempfehlungen, das der bzw. die Repository-Maintainerin initiiert, ist die Angabe eines Ökosystems ebenfalls erforderlich.) Es wird jedoch empfohlen, dass Sicherheitsforscherinnen so viele Informationen wie möglich im Formular angeben, damit die Maintainer*innen eine fundierte Entscheidung in Bezug auf die übermittelte Meldung treffen können. Du kannst die von unseren Sicherheitsexperten verwendete Vorlage aus GitHub Security Lab übernehmen, die im github/securitylab-Repository verfügbar ist.

    Weitere Informationen zu den verfügbaren Feldern und Leitfäden zum Ausfüllen des Formulars findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository und Bewährte Methoden für das Schreiben von Sicherheitshinweisen für Repositorys.

  5. Klicke unten im Formular auf Meldung übermitteln. GitHub zeigt dann eine Meldung an, dass die Maintainer*innen benachrichtigt wurden und eine ausstehende Erwähnung für dich in Bezug auf diese Sicherheitsempfehlung vorliegt.

    Tipp

    Wenn die Meldung übermittelt wird, fügt GitHub die Person, die das Sicherheitsrisiko gemeldet hat, automatisch als Projektmitarbeiter und erwähnter Benutzer in der vorgeschlagenen Empfehlung hinzu.

  6. Klicke optional auf Mit temporärem privatem Fork beginnen, wenn du beginnen möchtest, das Problem zu beheben. Beachte, dass nur Repositorymaintainer*innen Änderungen aus diesem privaten Fork mit dem übergeordneten Repository zusammenführen können.

    Screenshot des unteren Rands einer Sicherheitsempfehlung Die Schaltfläche „Temporären Fork beginnen“ ist dunkelorange umrandet.

Die nächsten Schritte hängen davon ab, welche Maßnahmen der bzw. die Repository-Maintainer*in ergreift. Weitere Informationen findest du unter Verwalten privat gemeldeter Sicherheitsrisiken.