# 私下报告安全漏洞

某些公共存储库配置安全公告，以便任何人都可以直接并私下向维护人员报告安全漏洞。

公共存储库的所有者和管理员可以对其存储库启用专用漏洞报告。 请参阅“[为存储库配置私人漏洞报告](/zh/code-security/security-advisories/working-with-repository-security-advisories/configuring-private-vulnerability-reporting-for-a-repository)”。

> \[!NOTE]
>
> * 如果拥有公共存储库的管理员或安全权限，则无需提交漏洞报告。 而是直接创建安全公告草案。 请参阅“[创建存储库安全公告](/zh/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory)”。
> * 专用漏洞报告独立于存储库 `SECURITY.md` 的文件。 可以向启用此功能的存储库私下报告漏洞，并且不需要按照 `SECURITY.md` 中的说明执行。

如果公共存储库启用了专用漏洞报告，任何人都可以向存储库维护人员提交专用漏洞报告。

如果存储库未启用专用漏洞报告，则需要按照存储库的安全策略中的说明启动报告过程，或者创建一个问题，要求维护人员联系首选安全联系人。 请参阅“[关于安全漏洞的协调披露](/zh/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/about-coordinated-disclosure-of-security-vulnerabilities#about-reporting-and-disclosing-vulnerabilities-in-projects-on-github)”。

1. 在 GitHub 上，导航到存储库的主页面。

2. 在存储库名称下，单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** 选项卡。如果看不到“<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality”选项卡，请选择 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** 下拉菜单，然后单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**。

3. 单击“报告漏洞”可打开咨询表单。

4. 填写咨询详细信息表单。

   > \[!TIP]
   > 在此表单中，只有标题和说明是必填的。 （在存储库维护人员启动的一般安全咨询表单草稿中，还需要指定生态系统。）但是，建议安全研究人员在表单上提供尽可能多的信息，以便维护人员可以就提交的报告做出明智的决定。 可以从 GitHub Security Lab 中采用我们的安全研究人员使用的模板，该模板可在 [`github/securitylab` 仓库](https://github.com/github/securitylab/blob/main/docs/report-template.md)中获取。

   有关可用字段的详细信息和填写表单的指导，请参阅 [创建存储库安全公告](/zh/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory) 和 [编写存储库安全公告的最佳做法](/zh/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/best-practices-for-writing-repository-security-advisories)。

5. 在表单底部，单击“提交报告”。 GitHub 将显示一条消息，告知你已通知维护人员，并且你拥有此安全公告的待处理额度。

   > \[!TIP]
   > 提交报告后，GitHub 会自动将漏洞报告者添加为协作者，并在建议的公告中作为信用用户添加。

6. （可选）如果要开始修复问题，单击“启动临时专用分支”。 请注意，只有存储库维护者才能将来自该专用分支的更改合并到父存储库中。

   ![安全公告底部的屏幕截图。 标记为“启动临时分支”的按钮以深橙色标出。](/assets/images/help/security/advisory-start-a-temporary-private-fork-button.png)

后续步骤取决于存储库维护人员执行的操作。 请参阅“[管理私下报告的安全漏洞](/zh/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/managing-privately-reported-security-vulnerabilities)”。