Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
 

 

Gestion des vulnérabilités de sécurité signalées en privé

In this article

Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée.

Who can use this feature

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Remarque : Les rapports de vulnérabilité privés sont actuellement en version bêta et sont susceptibles d’être modifiés.

Les propriétaires et les administrateurs de dépôts publics peuvent activer les rapports de vulnérabilités privés sur leurs dépôts. Pour plus d’informations, consultez « Configuration des rapports de vulnérabilité privés pour un dépôt ».

À propos du signalement privé d’une vulnérabilité de sécurité

Les rapports de vulnérabilités privés permettent aux chercheurs en sécurité de vous signaler les vulnérabilités directement au moyen d’un simple formulaire.

Quand un chercheur en sécurité signale une vulnérabilité en privé, vous en êtes averti et vous pouvez choisir d’accepter le rapport, de poser d’autres questions ou de le rejeter. Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif de la vulnérabilité en privé avec le chercheur en sécurité.

Gestion des vulnérabilités de sécurité signalées en privé

GitHub avertit les chargés de maintenance de dépôt quand les chercheurs en sécurité signalent en privé des vulnérabilités dans leur dépôt, et envoie des notifications si les chargés de maintenance surveillent le dépôt ou s’ils ont des notifications activées pour le dépôt. Pour plus d’informations, consultez « Configuration des notifications ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis. Onglet Avis de sécurité

  2. Cliquez sur l’avis que vous souhaitez consulter. Un avis qui est signalé en privé a l’état Needs triage.

    Capture d’écran montrant un exemple de liste d’avis

  3. Examinez attentivement le rapport. Vous pouvez :

    • Collaborez avec le chercheur en sécurité sur un correctif en privé, en cliquant sur Démarrer une duplication (fork) privée temporaire. Cette action vous octroie un espace pour d’autres discussions avec le contributeur sans changer le statut de l’avis proposé (Needs triage).

    • Acceptez le rapport de vulnérabilité en tant que brouillon d’avis sur GitHub, en cliquant sur Accepter et ouvrir en tant que brouillon. Si vous choisissez cette option :

      • Cela ne rend pas le rapport public.
      • Le rapport devient un brouillon d’avis de sécurité de dépôt et vous pouvez travailler dessus de la même façon que sur tout brouillon d’avis que vous créez. Pour plus d’informations sur les avis de sécurité, consultez « À propos des avis de sécurité des dépôts ».

    • Rejetez le rapport en cliquant sur Fermer l’avis de sécurité. Si possible, avant de fermer l’avis, vous devez ajouter un commentaire expliquant pourquoi vous ne considérez pas le rapport comme un risque pour la sécurité.

      Capture d’écran montrant les options disponibles pour le chargé de maintenance de dépôt lors de l’examen d’un rapport de vulnérabilité soumis en externe