Skip to main content
Wir veröffentlichen regelmäßig Aktualisierungen unserer Dokumentation, und die Übersetzung dieser Seite ist möglicherweise noch nicht abgeschlossen. Die aktuellsten Informationen findest du in der englischen Dokumentation.
 

 

Verwalten privat gemeldeter Sicherheitsrisiken

Inhalt dieses Artikels

Repository-Maintainer können Sicherheitsrisiken verwalten, die privat von Sicherheitsforschern für Repositorys gemeldet wurden, in denen private Sicherheitsrisikomeldungen aktiviert sind.

Who can use this feature

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Hinweis: Das private Melden von Sicherheitsrisiken ist derzeit als Betaversion verfügbar und kann noch geändert werden.

Besitzer und Administratoren öffentlicher Repositorys können das private Melden von Sicherheitsrisiken für ihre Repositorys aktivieren. Weitere Informationen findest du unter Konfigurieren der privaten Meldung von Sicherheitsrisiken für ein Repository.

Informationen zum privaten Melden eines Sicherheitsrisikos

Dank der Möglichkeit zum privaten Melden von Sicherheitsrisiken können Sicherheitsforscher Sicherheitsrisiken mühelos über ein einfaches Formular direkt an dich melden.

Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem Sicherheitsforscher privat an einer Lösung für das Sicherheitsrisiko zu arbeiten.

Verwalten privat gemeldeter Sicherheitsrisiken

GitHub benachrichtigt Repository-Maintainer, wenn Sicherheitsforscher privat Sicherheitsrisiken in ihrem Repository melden, und sendet Benachrichtigungen, wenn Maintainer das Repository überwachen oder Benachrichtigungen für das Repository aktiviert haben. Weitere Informationen findest du unter Konfigurieren von Benachrichtigungen.

  1. Navigiere in zur Hauptseite des Repositorys. 1. Klicke unter dem Repositorynamen auf Sicherheit. Registerkarte „Sicherheit“ 1. Klicke auf der linken Seitenleiste unter „Berichte“ auf Empfehlungen. Registerkarte „Sicherheitshinweise“

  2. Klicke auf die Empfehlung, die du überprüfen möchtest. Eine privat gemeldete Empfehlung hat den Status Needs triage.

    Screenshot: Beispiel einer Empfehlungsliste

  3. Überprüfe die Meldung sorgfältig. Du hast folgende Möglichkeiten:

    • Klicke auf Mit temporärem privatem Fork beginnen, um zusammen mit dem Sicherheitsforscher privat an einem Patch zu arbeiten. Dadurch erhältst du eine Umgebung für weitere Diskussionen mit dem Mitwirkenden, ohne den Status Needs triage der vorgeschlagenen Empfehlung zu ändern.

    • Klicke auf Akzeptieren und als Entwurf öffnen, um die Sicherheitsrisikomeldung als Empfehlungsentwurf für GitHub zu akzeptieren. Bei dieser Option gilt Folgendes:

      • Die Meldung wird dadurch nicht öffentlich.
      • Die Meldung wird zu einem Entwurf für eine Repositorysicherheitsempfehlung, und du kannst sie auf die gleiche Weise bearbeiten wie alle von dir erstellten Empfehlungsentwürfe. Weitere Informationen zu Sicherheitsempfehlungen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.

    • Klicke auf Sicherheitsempfehlung schließen, um die Meldung abzulehnen. Füge vor dem Schließen der Empfehlung nach Möglichkeit einen Kommentar hinzu, um zu erläutern, warum du die Meldung nicht als Sicherheitsrisiko betrachtest.

      Screenshot: Verfügbare Optionen für Repository-Maintainer bei der Überprüfung einer extern übermittelten Sicherheitsrisikomeldung