Adding a security policy to your repository

You can give instructions for how to report a security vulnerability in your project by adding a security policy to your repository.

In diesem Artikel

About security policies

To give people instructions for reporting security vulnerabilities in your project, you can add a SECURITY.md file to your repository's root, docs, or .github folder. Adding this file to this part(s) of your repository automatically creates a row with a description where people can review it. When someone creates an issue in your repository, they will see a link to your project's security policy.

You can create a default security policy for your organization or personal account. For more information, see Erstellen einer Standard-Community-Health-File.

Tipp

To help people find your security policy, you can link to your SECURITY.md file from other places in your repository, such as your README file. For more information, see Info zur Infodatei des Repositorys.

After someone reports a security vulnerability in your project, you can use GitHub Security Advisories to disclose, fix, and publish information about the vulnerability. For more information about the process of reporting and disclosing vulnerabilities in GitHub, see Informationen zur koordinierten Offenlegung von Sicherheitsrisiken. For more information about repository security advisories, see Informationen zu Sicherheitsempfehlungen für Repositorys.

Du kannst auch GitHub Security Lab beitreten, um sicherheitsbezogene Themen zu durchsuchen und zu Sicherheitstools und Projekten beizutragen.

For an example of a real SECURITY.md file, see https://github.com/electron/electron/blob/main/SECURITY.md.

Adding a security policy to your repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. In the left sidebar, under "Reporting", click Policy.

  4. Click Start setup.

  5. In the new SECURITY.md file, add information about supported versions of your project and how to report a vulnerability.

  6. Klicke auf Änderungen committen.

  7. Gib im Feld „Commitnachricht“ eine kurze, aussagekräftige Commitnachricht ein, die die Änderung beschreibt, die Du an der Datei vorgenommen hast. Du kannst den Commit in der Commit-Mitteilung mehr als einem Autor zuordnen. Weitere Informationen finden Sie unter Einen Commit mit mehreren Autoren erstellen.

  8. Wenn Ihrem Konto in GitHub mehrere E-Mail-Adressen zugeordnet sind, klicken Sie auf das Dropdownmenü für E-Mail-Adressen und wählen Sie die Adresse aus, die als Git-Autor-Adresse für den verwendet werden soll. Nur verifizierte E-Mail-Adressen werden in diesem Dropdownmenü angezeigt. Wenn Sie den Datenschutz für E-Mail-Adressen aktiviert haben, ist die Commitautor-Standardadresse No-reply. Weitere Informationen zur genauen Form der No-reply-E-Mail-Adresse findest du unter E-Mail-Adresse für Commits festlegen.

    Screenshot eines GitHub-Pull Requests mit einem Dropdownmenü mit Optionen zum Auswählen der Commit-E-Mail-Adresse des Autors. octocat@github.com ist ausgewählt.

  9. Lege unter den Commit-Mitteilungsfeldern fest, ob Du Dein Commit zum aktuellen Branch oder zu einem neuen Branch hinzufügen möchten. Wenn dein aktueller Branch als Standardbranch festgelegt ist, solltest du einen neuen Branch für deinen Commit und dann einen Pull Request erstellen. Weitere Informationen finden Sie unter Erstellen eines Pull Requests.

    Screenshot eines GitHub-Pull Requests mit einem Optionsfeld zum direkten Commit an den Mainbranch oder zum Erstellen eines neuen Branchs. Der neue Branch ist ausgewählt.

  10. Klicke auf Änderungen committen oder Änderungen vorschlagen.

Further reading