Configuring private vulnerability reporting for a repository

Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

About privately reporting a security vulnerability

Security researchers often feel responsible for alerting users to a vulnerability that could be exploited. If there are no clear instructions about contacting maintainers of the repository containing the vulnerability, security researchers may have no other choice but to post about the vulnerability on social media, send direct messages to the maintainer, or even create public issues. This situation can potentially lead to a public disclosure of the vulnerability details.

Les rapports de vulnérabilité privés permettent aux chercheurs en sécurité de vous signaler les vulnérabilités directement au moyen d’un simple formulaire.

Quand un chercheur en sécurité signale une vulnérabilité en privé, vous en êtes notifié et pouvez choisir d’accepter le rapport, de poser d’autres questions ou de le rejeter. Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif de la vulnérabilité en privé avec le chercheur en sécurité.

For maintainers, the benefits of using private vulnerability reporting are:

  • Les risques d’être contacté publiquement ou par des moyens non souhaités sont moindres.
  • Les rapports sont reçus sur la même plateforme dont vous vous servez pour les résoudre afin de simplifier les choses
  • Le chercheur en sécurité crée ou, au moins, initie le rapport consultatif pour le compte des chargés de maintenance.
  • Les chargés de maintenance reçoivent des rapports sur la même plateforme que celle utilisée pour traiter et résoudre les avis.
  • La vulnérabilité a moins de risque d’être à la vue de tous.
  • L’occasion de discuter des détails des vulnérabilités en privé avec les chercheurs en sécurité et de collaborer sur le correctif.

The instructions in this article refer to enablement at repository level. For information about enabling the feature at organization level, see Configuration de rapports de vulnérabilité privés pour une organisation.

Enabling or disabling private vulnerability reporting for a repository

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Under "Advanced Security", to the right of "Private vulnerability reporting", click Enable or Disable, to enable or disable the feature, respectively.

    Screenshot of the "Code security and analysis" page, showing the "Private vulnerability reporting" setting. The "Enable" button is outlined in orange.

Quand les rapports de vulnérabilité privés sont activés pour un dépôt, les chercheurs en sécurité voient un nouveau bouton dans la page Avis du dépôt. Le chercheur en sécurité peut cliquer sur ce bouton pour signaler en privé une vulnérabilité de sécurité au chargé de maintenance du dépôt.

Capture d’écran montrant le bouton « Signaler une vulnérabilité » pour un dépôt où les rapports de vulnérabilité privés ont été activés.

Les chercheurs en sécurité peuvent également utiliser l’API REST pour signaler en privé les failles de sécurité. Pour plus d’informations, consultez Signalement privé d’une faille de sécurité.

Configuring notifications for private vulnerability reporting

Quand une nouvelle vulnérabilité est signalée en privé sur un référentiel où les rapports de vulnérabilités privés sont activés, GitHub avertit les responsables de la maintenance du référentiel et les responsables de la sécurité si :

  • Ils surveillent le dépôt pour toutes les activités.
  • Les notifications sont activées pour le dépôt.

Notifications depend on the user's notification preferences. You will receive an email notification if:

  • You are watching the repository.
  • You have enabled notifications for "All Activity".
  • In your notification settings, under "Subscriptions", then under "Watching", you have selected to receive notifications by email.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. To start watching the repository, select Watch.

    Screenshot of the repository's main page. A dropdown menu, titled "Watch", is highlighted with an orange outline.

  3. In the dropdown menu, click All Activity.

  4. Navigate to the notification settings for your personal account. These are available at https://github.com/settings/notifications.

  5. On your notification settings page, under "Subscriptions," then under "Watching," select the Notify me dropdown.

  6. Select "Email" as a notification option, then click Save.

    Screenshot of the notification settings for a user account. Under "Subscriptions" and "Watching" a checkbox, titled "Email", is outlined in orange.

Pour plus d’informations sur la configuration des préférences de notification, consultez Gestion des paramètres de sécurité et d’analyse pour votre dépôt et Configuration de vos paramètres de surveillance pour un référentiel spécifique.