L’activation des rapports de vulnérabilités privées offre aux chercheurs de sécurité un moyen sécurisé et structuré de divulguer des vulnérabilités directement dans votre dépôt. Une fois activé, les chercheurs peuvent soumettre des rapports sans recourir à la divulgation publique ou aux canaux informels. Pour plus d’informations sur les rapports de vulnérabilité privés et sur la façon dont il s’adapte à la divulgation coordonnée, consultez À propos de la divulgation coordonnée des vulnérabilités de sécurité.
Les instructions de cet article font référence à l’activation au niveau d’un dépôt. Pour plus d’informations sur l’activation de la fonctionnalité au niveau d’une organisation, consultez la section À propos de la divulgation coordonnée des vulnérabilités de sécurité.
Activation ou désactivation des rapports de vulnérabilité privés pour un dépôt
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
-
Sous « Advanced Security », à droite de « Rapports de vulnérabilité privés », cliquez sur Activer ou Désactiver pour activer ou désactiver la fonctionnalité, respectivement.
Lorsque les rapports de vulnérabilité privés sont activés, les chercheurs de sécurité voient un bouton Signaler une vulnérabilité sur la page « Avis » du dépôt, ce qui leur permet de soumettre un rapport privé.
Les chercheurs en sécurité peuvent également utiliser l’API REST pour signaler en privé les failles de sécurité. Consultez « Points de terminaison d’API REST pour les avis de sécurité de référentiels ».
Configuration des notifications pour la création de rapports de vulnérabilités privés
Lorsqu’une nouvelle vulnérabilité est signalée en privé dans un référentiel, GitHub avertit les administrateurs de référentiel et les gestionnaires de sécurité si :
- Ils surveillent le référentiel pour toutes les activités ou sont abonnés aux notifications « Alertes de sécurité ».
- Ils ont activé les notifications pour le dépôt.
Les notifications dépendent des préférences de notification de l’utilisateur. Vous recevrez une notification par e-mail si :
- Vous observez le référentiel avec toutes les activités sélectionnées, ou avec les alertes de sécurité (disponibles sous Personnalisé) sélectionnées.
- Dans vos paramètres de notification, sous Abonnements, puis sous Espion, vous avez sélectionné pour recevoir des notifications par e-mail.
-
Sur GitHub, accédez à la page principale du référentiel.
-
Pour commencer à surveiller le dépôt, sélectionnez Surveiller.
-
Dans le menu déroulant, sélectionnez Toutes les activités pour recevoir des notifications pour toutes les activités, ou sélectionnez Personnalisé, puis les alertes de sécurité pour recevoir des notifications uniquement pour les alertes de sécurité.
-
Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.
-
Dans la page des paramètres de notification, sous « Abonnements », puis sous « Espion », cliquez sur la liste déroulante Me notifier .
-
Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.
Pour plus d’informations sur la configuration des préférences de notification, consultez Gestion des paramètres de sécurité et d’analyse pour votre dépôt et Configuration de vos paramètres de surveillance pour un référentiel spécifique.