Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
 

 

Управление уязвимостями системы безопасности, о которые сообщалось в частном порядке

In this article

Службы поддержки репозиториев могут управлять уязвимостями системы безопасности, о которых им сообщили в частном порядке в репозиториях, в которых включены отчеты об уязвимостях.

Who can use this feature

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Примечание: Частные отчеты об уязвимостях в настоящее время находятся в бета-версии и могут быть изменены.

Владельцы и администраторы общедоступных репозиториев могут включить частные отчеты об уязвимостях в своих репозиториях. Дополнительные сведения см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

Сведения о конфиденциальном сообщении об уязвимости системы безопасности

Отчеты о частных уязвимостях упрощают для исследователей безопасности сообщать об уязвимостях напрямую с помощью простой формы.

Когда исследователь безопасности сообщает об уязвимости в частном порядке, вы получите уведомление и можете принять ее, задать дополнительные вопросы или отклонить ее. Если вы принимаете отчет, вы готовы к совместной работе над исправлением уязвимости в частном порядке с исследователем по безопасности.

Управление уязвимостями системы безопасности, о которых сообщалось в частном порядке

GitHub уведомляет поддержку репозитория, когда исследователи безопасности в частном порядке сообщают об уязвимостях в своем репозитории, и отправляет уведомления, если хранители смотрят репозиторий или если у них включены уведомления для репозитория. Дополнительные сведения см. в разделе Настройка уведомлений.

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Security. Вкладка "Безопасность" 1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации. Вкладка "Рекомендации по безопасности"

  2. Щелкните рекомендацию, которую вы хотите просмотреть. Рекомендации, о которых сообщается в частном порядке, будут иметь состояние Needs triage.

    Снимок экрана: пример списка рекомендаций

  3. Внимательно изучите отчет. Вы можете:

    • Совместная работа с исследователем по безопасности над исправлением в частном порядке, щелкнув Начать временную частную вилку. Это дает возможность для дальнейших обсуждений с участником без изменения состояния предлагаемой рекомендации с Needs triage.

    • Примите отчет об уязвимостях в качестве черновика рекомендаций по GitHub, нажав кнопку Принять и открыть как черновик. При выборе этого параметра:

      • Это не делает отчет общедоступным.
      • Отчет становится черновиком рекомендаций по безопасности репозитория, и вы можете работать с ним так же, как и с любым черновиком рекомендаций, которые вы создаете. Дополнительные сведения о рекомендациях по безопасности см. в разделе Сведения о рекомендациях по безопасности репозитория.

    • Отклоните отчет, нажав кнопку Закрыть советы по безопасности. По возможности следует добавить комментарий, объясняющий, почему вы не считаете отчет угрозой безопасности, прежде чем закрывать рекомендации.

      Снимок экрана: параметры, доступные для ведения репозитория при просмотре отчета об уязвимостях, отправленного извне