Gestion des vulnérabilités de sécurité signalées en privé

Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Quand un chercheur en sécurité signale une vulnérabilité en privé, vous en êtes notifié et pouvez choisir d’accepter le rapport, de poser d’autres questions ou de le rejeter. Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif de la vulnérabilité en privé avec le chercheur en sécurité.

Lorsqu’une nouvelle vulnérabilité est signalée en privé dans un référentiel, avertit les responsables de maintenance et les gestionnaires de sécurité du référentiel si :

  • Ils surveillent le dépôt pour toutes les activités.
  • Ils ont activé les notifications pour le dépôt.

Pour en savoir plus sur la configuration des préférences de notification, consultez Configuration de rapports de vulnérabilité privés pour un dépôt.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du référentiel, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.

  4. Cliquez sur l’avis que vous souhaitez consulter. Un avis qui a été signalé en privé a l’état Triage.

    Capture d’écran d’une liste « Avis de sécurité ».

  5. Examinez attentivement le rapport, puis choisissez comment procéder.

    • Pour collaborer sur un correctif en privé, cliquez sur Démarrer une duplication privée temporaire afin de créer un emplacement pour d’autres discussions avec le contributeur. Cela ne modifie pas l’état de l’avis proposé à partir de Triage.

    • Acceptez le rapport de vulnérabilité en tant que brouillon d’avis sur GitHub, en cliquant sur Accepter et ouvrir en tant que brouillon. Si vous choisissez cette option :

      • Cela ne rend pas le rapport public.
      • Le rapport devient un brouillon d’avis de sécurité de dépôt et vous pouvez travailler dessus de la même façon que sur tout brouillon d’avis que vous créez. Pour en savoir plus sur les avis de sécurité, consultez À propos des avis de sécurité des référentiels.

    • Pour demander plus d’information ou pour ouvrir une discussion avec le signaleur, vous pouvez commenter l’avis. Les commentaires ne sont visibles que par le signaleur et par tous les collaborateurs sur l’avis.

    • Si vous disposez de suffisamment d’informations pour déterminer que le problème décrit par le signaleur n’est pas un risque pour la sécurité, cliquez sur Fermer l’avis de sécurité. Si possible, avant de fermer l’avis, vous devez ajouter un commentaire expliquant pourquoi vous ne considérez pas le rapport comme un risque pour la sécurité.

      Capture d’écran montrant les options disponibles pour le chargé de maintenance de dépôt lors de l’examen d’un rapport de vulnérabilité soumis en externe.