为存储库配置私人漏洞报告

公共存储库的所有者和管理员可以允许安全研究人员通过启用私人漏洞报告来安全地报告存储库中的漏洞。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

在本文中

启用专用漏洞报告为安全研究人员提供了一种安全的结构化方法来直接在存储库中披露漏洞。 启用后,研究人员可以通过提交报告,而无需利用公开披露或非正式渠道。 有关私有漏洞报告及其如何融入协调披露的背景信息,请参阅 关于安全漏洞的协调披露

本文中的说明涉及存储库级别的启用。 有关在组织级别启用该功能的信息,请参阅 关于安全漏洞的协调披露

为存储库启用或禁用私人漏洞报告

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在仓库名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“Security”部分中,单击“ Advanced Security”****。

  4. 在“Advanced Security”下的“Private vulnerability reporting”右侧,单击“Enable”或“Disable”,分别启用或禁用该功能********。

           ![“代码安全和分析”页的屏幕截图,显示“私人漏洞报告”设置。 “启用”按钮以橙色边框突出显示。](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)

数据可复用s.安全建议.私密漏洞报告-安全研究员 %}

为专用漏洞报告配置通知

在存储库中私下报告新漏洞时,GitHub 向存储库管理员和安全管理员通知以下情况:

  • 他们正在监视存储库的所有活动或订阅收到“安全警报”通知。
  • 他们为存储库启用了通知。

通知取决于用户的通知首选项。 你将收到电子邮件通知,前提是:

  • 你正在查看存储库,并选择了“所有活动”或“安全警报”(“自定义”下)。************
  • 在通知设置的 “订阅”下,在“ 监视”下,你已选择通过电子邮件接收通知。

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 要开始监视存储库,请选择“ Watch”****。

    存储库主页的屏幕截图。 标题为“监视”的下拉菜单,用橙色边框突出显示。

  3. 在下拉菜单中,选择“ 所有活动 ”以接收所有活动的通知,或选择“ 自定义”,然后选择 “安全警报 ”,以便仅接收安全警报的通知。

  4. 导航到个人帐户的通知设置。 这些可在 https://github.com/settings/notifications 访问。

  5. 在通知设置页上的“订阅”下,然后在“监视”下,单击“ 通知我 ”下拉列表。

  6. 选择“电子邮件”作为通知选项,然后单击“保存”****。

    用户帐户的通知设置的屏幕截图。 在“订阅”和“监视”下,一个标题为“电子邮件”的复选框以橙色边框突出显示。

有关设置通知首选项的详细信息,请参阅 管理存储库的安全和分析设置为单个存储库配置监视设置