公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 有关详细信息,请参阅“为存储库配置私人漏洞报告”。
注意
- 如果拥有公共存储库的管理员或安全权限,则无需提交漏洞报告。 而是直接创建安全公告草案。 请参阅“创建存储库安全公告”。
- 专用漏洞报告独立于存储库
SECURITY.md的文件。 可以向启用此功能的存储库私下报告漏洞,并且不需要按照SECURITY.md中的说明执行。
如果公共存储库启用了专用漏洞报告,任何人都可以向存储库维护人员提交专用漏洞报告。 用户还可以评价公共存储库的一般安全性并提出安全策略建议。 请参阅“评估存储库的安全设置”。
如果存储库未启用专用漏洞报告,则需要按照存储库的安全策略中的说明启动报告过程,或者创建一个问题,要求维护人员联系首选安全联系人。 请参阅“关于安全漏洞的协调披露”。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
单击“报告漏洞”可打开咨询表单。
-
填写咨询详细信息表单。
提示
在此表单中,只有标题和说明是必填的。 (在存储库维护人员启动的一般安全咨询表单草稿中,还需要指定生态系统。)但是,建议安全研究人员在表单上提供尽可能多的信息,以便维护人员可以就提交的报告做出明智的决定。 可以从 GitHub Security Lab 中采用我们的安全研究人员使用的模板,该模板可在
github/securitylab仓库中获取。有关可用字段的详细信息和填写表单的指导,请参阅 创建存储库安全公告 和 编写存储库安全公告的最佳做法。
-
在表单底部,单击“提交报告”。 GitHub 将显示一条消息,告知你已通知维护人员,并且你拥有此安全公告的待处理额度。
提示
提交报告后,GitHub 会自动将漏洞报告者添加为协作者,并在建议的公告中作为信用用户添加。
-
(可选)如果要开始修复问题,单击“启动临时专用分支”。 请注意,只有存储库维护者才能将来自该专用分支的更改合并到父存储库中。
后续步骤取决于存储库维护人员执行的操作。 请参阅“管理私下报告的安全漏洞”。