Les propriétaires et les administrateurs de dépôts publics peuvent activer les rapports de vulnérabilités privés sur leurs dépôts. Consultez « Configuration de rapports de vulnérabilité privés pour un dépôt ».
Remarque
- Si vous disposez d’autorisations d’administrateur ou de sécurité pour un référentiel public, vous n’avez pas besoin d’envoyer un rapport de vulnérabilité. Au lieu de cela, créez directement un brouillon de conseil de sécurité. Consultez « Création d’un avis de sécurité de dépôt ».
- Les rapports de vulnérabilités privées sont distincts du fichier d’un
SECURITY.mdréférentiel. Vous pouvez uniquement signaler des vulnérabilités en privé pour les référentiels où cette fonctionnalité est activée, et vous n’avez pas besoin de suivre les instructions dansSECURITY.md.
Si un dépôt public dispose d’un rapport de vulnérabilité privé activé, tout le monde peut soumettre un rapport de vulnérabilité privé aux gestionnaires de maintenance du référentiel.
Si le référentiel n’a pas de rapport de vulnérabilité privée activé, vous devez lancer le processus de création de rapports en suivant les instructions de la stratégie de sécurité pour le référentiel, ou en créant un problème demandant aux responsables de la maintenance d’un contact de sécurité préféré. Consultez « À propos de la divulgation coordonnée des vulnérabilités de sécurité ».
Les étapes suivantes dépendent de l’action effectuée par le chargé de maintenance de dépôt. Consultez « Gestion des vulnérabilités de sécurité signalées en privé ».