Como configurar relatórios privados de vulnerabilidades em um repositório

Os proprietários e os administradores de repositórios públicos podem permitir que os pesquisadores de segurança relatem as vulnerabilidades com segurança no repositório habilitando os relatórios privados de vulnerabilidades.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Habilitar relatórios de vulnerabilidades privados fornece aos pesquisadores de segurança uma maneira segura e estruturada de divulgar vulnerabilidades diretamente em seu repositório. Uma vez habilitados, os pesquisadores podem enviar relatórios sem recorrer à divulgação pública ou canais informais. Para obter informações sobre relatórios de vulnerabilidades privadas e como ele se encaixa na divulgação coordenada, consulte Sobre a divulgação coordenada de vulnerabilidades de segurança.

As instruções neste artigo referem-se à habilitação no nível do repositório. Para obter informações sobre como habilitar o recurso no nível da organização, confira Sobre a divulgação coordenada de vulnerabilidades de segurança.

Como habilitar ou desabilitar relatórios privados de vulnerabilidades em um repositório

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Em "Advanced Security", à direita de "Relatório de vulnerabilidades privadas", clique em Habilitar ou Desabilitar, para habilitar ou desabilitar o recurso, respectivamente.

           ![Captura de tela da página "Segurança e análise de código", mostrando a configuração "Relatório de vulnerabilidades privadas". O botão "Habilitar" está contornado em laranja.](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)

Quando os relatórios de vulnerabilidades privadas estão habilitados, os pesquisadores de segurança veem um botão Relatar uma vulnerabilidade na página "Avisos" do repositório, o que permite que eles enviem um relatório privado.

Captura de tela mostrando o botão "Relatar uma vulnerabilidade" para um repositório em que o relatório privado de vulnerabilidades foi habilitado.

Os pesquisadores de segurança também podem usar a API REST para relatar vulnerabilidades de segurança de forma privada. Confira Endpoints de API REST para avisos de segurança de repositórios.

Configurando notificações para relatórios de vulnerabilidades privadas

Quando uma nova vulnerabilidade é relatada privadamente em um repositório, GitHub notifica administradores de repositório e gerentes de segurança se:

  • Eles estão monitorando todas as atividades no repositório ou estão inscritos para receber notificações de “Alertas de segurança”.
  • Eles têm notificações habilitadas para o repositório.

As notificações dependem das preferências de notificação do usuário. Você receberá uma notificação por email se:

  • Você está assistindo ao repositório com Todas as Atividades selecionadas ou com alertas de segurança (disponíveis em Personalizado) selecionados.
  • Em suas configurações de notificação, em Assinaturas, em Observação, você selecionou receber notificações por email.

  1. Em GitHub, acesse a página principal do repositório.

  2. Para começar a inspecionar o repositório, selecione Watch.

    Captura de tela da página principal do repositório. Um menu suspenso, intitulado "Assistir", é realçado com um contorno em laranja.

  3. No menu de opções, selecione Todas as Atividades para receber notificações para todas as atividades ou selecione Personalizado depois Alertas de Segurança para receber notificações apenas para alertas de segurança.

  4. Acesse as configurações de notificação da sua conta pessoal. Elas estão disponíveis em https://github.com/settings/notifications.

  5. Na página de configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", clique no menu suspenso Notificar-me.

  6. Selecione "Email" como uma opção de notificação e clique em Salvar.

    Captura de tela das configurações de notificação de uma conta de usuário. Em "Assinaturas" e "Observação", a caixa de seleção "Email" está contornada em laranja.