Configuring private vulnerability reporting for a repository

Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

About privately reporting a security vulnerability

Security researchers often feel responsible for alerting users to a vulnerability that could be exploited. If there are no clear instructions about contacting maintainers of the repository containing the vulnerability, security researchers may have no other choice but to post about the vulnerability on social media, send direct messages to the maintainer, or even create public issues. This situation can potentially lead to a public disclosure of the vulnerability details.

Ein privates Melden von Sicherheitsrisiken ermöglicht es Sicherheitsforscher*innen, Sicherheitsrisiken leicht über ein einfaches Formular direkt an dich zu melden.

Wenn ein Sicherheitsforscher privat eine Sicherheitslücke meldet, wirst du benachrichtigt und kannst die Meldung entweder akzeptieren, weitere Fragen stellen oder die Meldung ablehnen. Wenn du die Meldung akzeptierst, bist du bereit, gemeinsam mit dem bzw. der Sicherheitsforscher*in privat an einem Fix für das Sicherheitsrisiko zu arbeiten.

For maintainers, the benefits of using private vulnerability reporting are:

  • Geringeres Risiko, öffentlich oder über unerwünschte Mittel kontaktiert zu werden.
  • Empfangen von Berichten auf derselben Plattform, auf der du sie der Einfachheit halber auflöst
  • Der Sicherheitsforscher erstellt oder initiiert den Beratungsbericht im Auftrag von Verwaltern.
  • Verwalter erhalten Berichte auf derselben Plattform wie der, die zum Diskutieren und Lösen der Empfehlungen verwendet wird.
  • Sicherheitsrisiken sind weniger wahrscheinlich in der Öffentlichkeit zu finden.
  • Die Möglichkeit, Details zu Sicherheitsrisiken privat mit Sicherheitsforschern zu besprechen und am Patch zusammenzuarbeiten.

The instructions in this article refer to enablement at repository level. For information about enabling the feature at organization level, see Konfigurieren der privaten Meldung von Sicherheitsrisiken für eine Organisation.

Enabling or disabling private vulnerability reporting for a repository

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke im Abschnitt „Security“ der Randleiste auf Advanced Security.

  4. Under "Advanced Security", to the right of "Private vulnerability reporting", click Enable or Disable, to enable or disable the feature, respectively.

    Screenshot of the "Code security and analysis" page, showing the "Private vulnerability reporting" setting. The "Enable" button is outlined in orange.

Wenn ein die private Berichterstellung zu Sicherheitsrisiken für ein Repository aktiviert ist, wird Sicherheitsexpert*innen eine neue Schaltfläche auf der Seite Empfehlungen des Repositorys angezeigt. Der Sicherheitsforscher kann auf diese Schaltfläche klicken, um dem Repository-Verwalter privat ein Sicherheitsrisiko zu melden.

Screenshot: Schaltfläche „Sicherheitsrisiko melden“ für ein Repository, in dem die private Berichterstellung zu Sicherheitsrisiken aktiviert wurde

Sicherheitsforscher*innen können auch die REST-API verwenden, um Sicherheitsrisiken privat zu melden. Weitere Informationen findest du unter Privates Melden eines Sicherheitsrisikos.

Configuring notifications for private vulnerability reporting

Wenn ein neues Sicherheitsrisiko privat für ein Repository gemeldet wird, in dem die private Berichterstellung für Sicherheitsrisiken aktiviert ist, benachrichtigt GitHub die Repositoryverwaltung und das Sicherheitsmanagement in folgenden Fällen:

  • Sie beobachten das Repository für alle Aktivitäten.
  • Für sie sind Benachrichtigungen für das Repository aktiviert.

Notifications depend on the user's notification preferences. You will receive an email notification if:

  • You are watching the repository.
  • You have enabled notifications for "All Activity".
  • In your notification settings, under "Subscriptions", then under "Watching", you have selected to receive notifications by email.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. To start watching the repository, select Watch.

    Screenshot of the repository's main page. A dropdown menu, titled "Watch", is highlighted with an orange outline.

  3. In the dropdown menu, click All Activity.

  4. Navigate to the notification settings for your personal account. These are available at https://github.com/settings/notifications.

  5. On your notification settings page, under "Subscriptions," then under "Watching," select the Notify me dropdown.

  6. Select "Email" as a notification option, then click Save.

    Screenshot of the notification settings for a user account. Under "Subscriptions" and "Watching" a checkbox, titled "Email", is outlined in orange.

Weitere Informationen zum Einrichten der Benachrichtigungseinstellungen findest du unter Verwalten von Sicherheits- und Analyseeinstellungen für dein Repository und unter Konfigurieren von Überwachungseinstellungen für ein einzelnes Repository.