# セキュリティの脆弱性を非公開で報告する

一部のパブリック リポジトリでは、セキュリティ アドバイザリを構成して、誰もがセキュリティの脆弱性を直接、または非公開で保守担当者に報告できるようにします。

パブリック リポジトリの所有者と管理者は、リポジトリでプライベート脆弱性レポートを有効にすることができます。 「[リポジトリのプライベート脆弱性レポートの構成](/ja/code-security/security-advisories/working-with-repository-security-advisories/configuring-private-vulnerability-reporting-for-a-repository)」を参照してください。

> \[!NOTE]
>
> * パブリック リポジトリの管理者またはセキュリティのアクセス許可がある場合は、脆弱性レポートを送信する必要はありません。 代わりに、ドラフト セキュリティ アドバイザリを直接作成します。 「[リポジトリ セキュリティ アドバイザリの作成](/ja/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory)」を参照してください。
> * プライベート脆弱性レポートは、リポジトリの `SECURITY.md` ファイルとは別です。 この機能が有効になっているリポジトリの脆弱性のみを非公開で報告でき、 `SECURITY.md`の手順に従う必要はありません。

パブリック リポジトリでプライベート脆弱性レポートが有効になっている場合、誰でもリポジトリの保守担当者にプライベート脆弱性レポートを送信できます。

リポジトリでプライベート脆弱性レポートが有効になっていない場合は、リポジトリのセキュリティ ポリシーの手順に従うか、または優先セキュリティ連絡先を保守担当者に要求する問題を作成して、レポート プロセスを開始する必要があります。 「[セキュリティ脆弱性の調整された開示](/ja/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/about-coordinated-disclosure-of-security-vulnerabilities#about-reporting-and-disclosing-vulnerabilities-in-projects-on-github)」を参照してください。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある \[ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブをクリックします。\[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality] タブが表示されない場合は、 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-kebab-horizontal" aria-label="kebab-horizontal" role="img"><path d="M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z"></path></svg>** ドロップダウン メニューを選択し、\[ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**] をクリックします。

3. **\[脆弱性の報告]** をクリックして、アドバイザリ フォームを開きます。

4. アドバイザリの詳細フォームに入力します。

   > \[!TIP]
   > このフォームでは、タイトルと説明のみが必須です。 (リポジトリの保守担当者が開始する一般的なドラフト セキュリティ アドバイザリ フォームでは、エコシステムを指定する必要もあります)。ただし、セキュリティ リサーチャーは、送信されたレポートに関して保守担当者が情報に基づいた意思決定を行えるように、フォームにできるだけ多くの情報を提供することをお勧めします。 GitHub のセキュリティ研究者が使ったテンプレートを、[`github/securitylab` リポジトリ](https://github.com/github/securitylab/blob/main/docs/report-template.md)で利用できる GitHub Security Lab から採用できます。

   使用可能なフィールドの詳細と、フォームの入力に関するガイダンスについては、「[リポジトリ セキュリティ アドバイザリの作成](/ja/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory)」と「[リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス](/ja/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/best-practices-for-writing-repository-security-advisories)」を参照してください。

5. フォームの下部にある **\[レポートの送信]** をクリックします。 GitHub には、保守担当者に通知されたことと、このセキュリティ アドバイザリの保留中のクレジットがあることを知らせるメッセージが表示されます。

   > \[!TIP]
   > レポートが送信されると、GitHub によって、コラボレーターとして、また提案されたアドバイザリのクレジット ユーザーとして脆弱性の報告者が自動的に追加されます。

6. 必要に応じて、issue の解決を開始する場合は、 **\[一時的なプライベート フォークを開始する]** をクリックします。 そのプライベート フォークからの変更を親リポジトリにマージできるのは、リポジトリ メンテナだけです。

   ![セキュリティ アドバイザリの下部のスクリーンショット。 \[一時的なフォークを開始する\] というラベルが付いたボタンが濃いオレンジ色の枠線で囲まれています。](/assets/images/help/security/advisory-start-a-temporary-private-fork-button.png)

次の手順は、リポジトリの保守担当者によって実行されるアクションによって異なります。 「[非公開で報告されたセキュリティの脆弱性の管理](/ja/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/managing-privately-reported-security-vulnerabilities)」を参照してください。