Privately reporting a security vulnerability

Some public repositories configure security advisories so that anyone can report security vulnerabilities directly and privately to the maintainers.

Qui peut utiliser cette fonctionnalité ?

Anyone can privately report a security vulnerability to repository maintainers.

Dans cet article

Les propriétaires et les administrateurs de dépôts publics peuvent activer les rapports de vulnérabilités privés sur leurs dépôts. Pour plus d’informations, consultez « Configuring private vulnerability reporting for a repository ».

Remarque

  • If you have admin or security permissions for a public repository, you don't need to submit a vulnerability report. Instead, you can create a draft security advisory directly. For more information, see Creating a repository security advisory.
  • The ability to privately report a vulnerability in a repository is not related to the presence of a SECURITY.md file in that repository's root or docs directory.
    • The SECURITY.md file contains the security policy for the repository. Repository administrators can add and use this file to provide public instructions for how to report a security vulnerability in their repository. For more information, see Adding a security policy to your repository.
    • You can only report a vulnerability privately for repositories where private vulnerability reporting is enabled, and you don't have to follow the instructions in the SECURITY.md file. This reporting process is fully private, and GitHub notifies the repository administrators directly about your submission.

About privately reporting a security vulnerability

Security researchers often feel responsible for alerting users to a vulnerability that could be exploited. If there are no clear instructions about contacting maintainers of the repository containing the vulnerability, security researchers may have no other choice but to post about the vulnerability on social media, send direct messages to the maintainer, or even create public issues. This situation can potentially lead to a public disclosure of the vulnerability details.

Private vulnerability reporting makes it easy for security researchers to report vulnerabilities directly to the repository maintainer using a simple form.

For security researchers, the benefits of using private vulnerability reporting are:

  • Less frustration, and less time spent trying to figure out how to contact the maintainer.
  • A smoother process for disclosing and discussing vulnerability details.
  • The opportunity to discuss vulnerability details privately with the repository maintainer.

Remarque

Si le rapport de vulnérabilité privé n'est pas activé dans le référentiel, vous devez lancer le processus de rapport en suivant les instructions de la politique de sécurité du référentiel, ou créer un problème en demandant aux responsables d'indiquer un contact de sécurité privilégié. Pour plus d’informations, consultez « À propos de la divulgation coordonnée des vulnérabilités de sécurité ».

Privately reporting a security vulnerability

If a public repository has private vulnerability reporting enabled, anyone can privately report a security vulnerability to repository maintainers. Users can also evaluate the general security of a public repository and suggest a security policy. For more information, see Evaluating the security settings of a repository.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du référentiel, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Cliquez sur Signaler une vulnérabilité pour ouvrir le formulaire d’avis.

  4. Remplissez le formulaire de détails de l’avis.

    Conseil

    Dans ce formulaire, seuls le titre et la description sont obligatoires. (Dans le formulaire général de brouillon d’avis de sécurité, qui est lancé par le chargé de maintenance de dépôt, la spécification de l’écosystème est également requise.) Toutefois, nous recommandons que les chercheurs en sécurité fournissent autant d’informations que possible dans le formulaire afin que les chargés de maintenance puissent prendre une décision éclairée au sujet du rapport soumis. Vous pouvez adopter le modèle utilisé par nos chercheurs en sécurité à partir du GitHub Security Lab, qui est disponible sur le référentiel github/securitylab .

    Pour plus d’informations sur les champs disponibles et des conseils sur le remplissage du formulaire, consultez Creating a repository security advisory et Best practices for writing repository security advisories.

  5. En bas du formulaire, cliquez sur Envoyer le rapport. GitHub affiche un message vous informant que les chargés de maintenance ont été avertis et que vous avez un crédit en attente pour cet avis de sécurité.

    Conseil

    Quand le rapport est soumis, GitHub ajoute automatiquement le rapporteur de la vulnérabilité en tant que collaborateur et utilisateur crédité sur l’avis proposé.

  6. Si vous souhaitez commencer à résoudre le problème, cliquez sur Démarrer une duplication privée temporaire. Notez que seul le chargé de maintenance du dépôt peut fusionner les modifications de cette duplication privée dans le dépôt parent.

    Capture d’écran du bas d’un avis de sécurité. Un bouton intitulé « Démarrer une duplication privée temporaire » est mis en évidence avec un encadré orange foncé.

The next steps depend on the action taken by the repository maintainer. For more information, see Managing privately reported security vulnerabilities.