Configuration de rapports de vulnérabilité privés pour un dépôt

L’activation des rapports de vulnérabilités privées offre aux chercheurs de sécurité un moyen sécurisé et structuré de divulguer des vulnérabilités directement dans votre dépôt. Une fois activé, les chercheurs peuvent soumettre des rapports sans recourir à la divulgation publique ou aux canaux informels. Pour plus d’informations sur les rapports de vulnérabilité privés et sur la façon dont il s’adapte à la divulgation coordonnée, consultez À propos de la divulgation coordonnée des vulnérabilités de sécurité.

Les instructions de cet article font référence à l’activation au niveau d’un dépôt. Pour plus d’informations sur l’activation de la fonctionnalité au niveau d’une organisation, consultez la section À propos de la divulgation coordonnée des vulnérabilités de sécurité.

Activation ou désactivation des rapports de vulnérabilité privés pour un dépôt

1. Sur GitHub, accédez à la page principale du référentiel.

2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

   

3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

4. Sous « Advanced Security », à droite de « Rapports de vulnérabilité privés », cliquez sur Activer ou Désactiver pour activer ou désactiver la fonctionnalité, respectivement.

          ![Capture d’écran de la page « Sécurité et analyse du code », montrant le paramètre « Rapports de vulnérabilités privés ». Le bouton « Activer » est indiqué en orange.](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)
   

Lorsque les rapports de vulnérabilité privés sont activés, les chercheurs de sécurité voient un bouton Signaler une vulnérabilité sur la page « Avis » du dépôt, ce qui leur permet de soumettre un rapport privé.

Les chercheurs en sécurité peuvent également utiliser l’API REST pour signaler en privé les failles de sécurité. Consultez « Points de terminaison d’API REST pour les avis de sécurité de référentiels ».

Configuration des notifications pour la création de rapports de vulnérabilités privés

Lorsqu’une nouvelle vulnérabilité est signalée en privé dans un référentiel, avertit les responsables de maintenance et les gestionnaires de sécurité du référentiel si :

• Ils surveillent le dépôt pour toutes les activités.
• Ils ont activé les notifications pour le dépôt.

Les notifications dépendent des préférences de notification de l’utilisateur. Vous recevrez une notification par e-mail si :

• Vous surveillez le dépôt.
• Vous avez activé les notifications pour « Toutes les activités ».
• Dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.

1. Sur GitHub, accédez à la page principale du référentiel.

2. Pour commencer à surveiller le dépôt, sélectionnez Surveiller.

   

3. Dans le menu déroulant, cliquez sur Toutes les activités.

4. Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.

5. Dans la page des paramètres de notification, sous « Abonnements », puis sous « Surveillance », sélectionnez la liste déroulante M’avertir.

6. Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.

   

Pour plus d’informations sur la configuration des préférences de notification, consultez Gestion des paramètres de sécurité et d’analyse pour votre dépôt et Configuration de vos paramètres de surveillance pour un référentiel spécifique.