Configuring private vulnerability reporting for a repository

Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

About privately reporting a security vulnerability

Security researchers often feel responsible for alerting users to a vulnerability that could be exploited. If there are no clear instructions about contacting maintainers of the repository containing the vulnerability, security researchers may have no other choice but to post about the vulnerability on social media, send direct messages to the maintainer, or even create public issues. This situation can potentially lead to a public disclosure of the vulnerability details.

Com o relatório privado de vulnerabilidades, os pesquisadores de segurança podem relatar vulnerabilidades diretamente a você de um jeito fácil usando um formulário simples.

Quando um pesquisador de segurança relata uma vulnerabilidade de maneira privada, você é notificado e pode optar por aceitá-la, fazer mais perguntas ou rejeitá-la. Se você aceitar o relatório, isso indicará que você está pronto para colaborar com o pesquisador de segurança de modo privado em uma correção da vulnerabilidade especificada.

For maintainers, the benefits of using private vulnerability reporting are:

  • Menos risco de ser contatado publicamente ou por meios indesejados.
  • Receber os relatórios na mesma plataforma em que você os resolve para simplificação
  • O pesquisador de segurança cria ou, pelo menos, inicia o relatório consultivo em nome dos mantenedores.
  • Os mantenedores recebem os relatórios na mesma plataforma que aquela usada para discutir e resolver os avisos.
  • Vulnerabilidade menos provável de estar exposta ao público.
  • A oportunidade de discutir os detalhes de uma vulnerabilidade em particular com os pesquisadores de segurança e colaborar no patch.

The instructions in this article refer to enablement at repository level. For information about enabling the feature at organization level, see Configurar relatórios privados de vulnerabilidades em uma organização.

Enabling or disabling private vulnerability reporting for a repository

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Security" da barra lateral, clique em Advanced Security.

  4. Under "Advanced Security", to the right of "Private vulnerability reporting", click Enable or Disable, to enable or disable the feature, respectively.

    Screenshot of the "Code security and analysis" page, showing the "Private vulnerability reporting" setting. The "Enable" button is outlined in orange.

Quando o relatório privado de vulnerabilidade for habilitado em um repositório, os pesquisadores de segurança verão um novo botão na página Avisos do repositório. O pesquisador de segurança pode clicar nesse botão para relatar uma vulnerabilidade de segurança de maneira particular ao mantenedor do repositório.

Captura de tela mostrando o botão "Relatar uma vulnerabilidade" para um repositório em que o relatório privado de vulnerabilidades foi habilitado.

Os pesquisadores de segurança também podem usar a API REST para relatar vulnerabilidades de segurança de forma privada. Para saber mais, confira Relatar de maneira privada uma vulnerabilidade de segurança.

Configuring notifications for private vulnerability reporting

Quando uma nova vulnerabilidade é relatada de maneira privada em um repositório em que os relatórios de vulnerabilidades privadas estão habilitados, o GitHub notifica os mantenedores de repositório e os gerentes de segurança se:

  • Eles estão observando o repositório para todas as atividades.
  • Eles têm notificações habilitadas para o repositório.

Notifications depend on the user's notification preferences. You will receive an email notification if:

  • You are watching the repository.
  • You have enabled notifications for "All Activity".
  • In your notification settings, under "Subscriptions", then under "Watching", you have selected to receive notifications by email.

  1. Em GitHub, acesse a página principal do repositório.

  2. To start watching the repository, select Watch.

    Screenshot of the repository's main page. A dropdown menu, titled "Watch", is highlighted with an orange outline.

  3. In the dropdown menu, click All Activity.

  4. Navigate to the notification settings for your personal account. These are available at https://github.com/settings/notifications.

  5. On your notification settings page, under "Subscriptions," then under "Watching," select the Notify me dropdown.

  6. Select "Email" as a notification option, then click Save.

    Screenshot of the notification settings for a user account. Under "Subscriptions" and "Watching" a checkbox, titled "Email", is outlined in orange.

Para saber mais sobre como configurar as preferências de configurações, confira Gerenciando as configurações de segurança e análise do repositório e Como definir as configurações de inspeção de um repositório individual.