注意:本文适用于以存储库所有者身份编辑存储库级别的公告。
非存储库所有者的用户可以通过 github.com/advisories 中的 GitHub Advisory Database 为全局安全公告做出贡献。 对全局通告的编辑不会更改或影响通告在存储库中的显示方式。 更多信息请参阅“编辑 GitHub Advisory Database 中的安全通告”。
基本要求
在临时私有复刻中进行协作之前,必须创建维护员通告草稿。 更多信息请参阅“创建存储库安全通告”。
创建临时私有复刻
任何对安全通告有管理权限的人都可以创建临时私有复刻。
为保证漏洞相关信息的安全,集成系统(包括 CI)无法访问临时私有复刻。
- 在 GitHub.com 上,导航到仓库的主页面。
- 在仓库名称下,单击 Security(安全)。
- 在左侧边栏中,单击 Security advisories(安全通告)。
- 在“Security Advisories(安全通告)”列表中,单击要在其中创建临时私有复刻的安全通告。
- 单击 New temporary private fork(新建临时私有复刻)。
将协作者添加到临时私有复刻
对安全通告具有管理员权限的任何人都可以向安全通告添加其他协作者,而安全通告的协作者可以访问临时私有复刻。 更多信息请参阅“添加协作者到仓库安全通告”。
将更改添加到临时私有复刻
任何对安全通告有写入权限的人都可以向临时私有复刻添加更改。
- 在 GitHub.com 上,导航到仓库的主页面。
- 在仓库名称下,单击 Security(安全)。
- 在左侧边栏中,单击 Security advisories(安全通告)。
- 在“Security Advisories(安全通告)”列表中,单击要向其添加更改的安全通告。
- 在 GitHub 上或在本地添加更改:
- 要在 GitHub 上添加更改,请在“Add changes to this advisory(将更改添加到此通告)”下,单击 the temporary private fork(临时私有复刻)。 然后,创建新分支并编辑文件。 更多信息请参阅“在仓库中创建和删除分支”和“编辑文件”。
- 要在本地添加更改,请按照“克隆并创建新分支”和“进行更改,然后推送”下的说明进行操作。
从临时私有复刻创建拉取请求
任何对安全通告有写入权限的人都可以从临时私有复刻创建拉取请求。
- 在 GitHub.com 上,导航到仓库的主页面。
- 在仓库名称下,单击 Security(安全)。
- 在左侧边栏中,单击 Security advisories(安全通告)。
- 在“Security Advisories(安全通告)”列表中,单击要在其中创建拉取请求的安全通告。
- 在分支名称的右侧,单击 Compare & pull request(比较与拉取请求)。
- 为您的拉取请求输标题和说明。
- 要创建可供审查的拉取请求,请单击 Create Pull Request(创建拉取请求)。 要创建草稿拉取请求,请使用下拉列表选择 Create Draft Pull Request(创建草稿拉取请求),然后单击 Draft Pull Request(草稿拉取请求)。 有关拉取请求草稿的更多信息,请参阅“关于拉取请求”。
您不能在临时私有复刻中合并个别拉取请求。 而可以在相应的安全通告中一次合并所有打开的拉取请求。 更多信息请参阅“合并安全通告中的更改”。
合并安全通告中的更改
对安全通告具有管理员权限的任何人都可合并安全通告中的更改。
您不能在临时私有复刻中合并个别拉取请求。 而可以在相应的安全通告中一次合并所有打开的拉取请求。
在合并安全通告中的更改之前,临时私有复刻中每个打开的拉取请求必须为可合并状态。 不存在合并冲突,并且必须满足分支保护要求。 为保证漏洞相关信息的安全,不在临时私有复刻的拉取请求上运行状态检查。 更多信息请参阅“关于受保护分支”。
- 在 GitHub.com 上,导航到仓库的主页面。
- 在仓库名称下,单击 Security(安全)。
- 在左侧边栏中,单击 Security advisories(安全通告)。
- 在“Security Advisories(安全通告)”列表中,单击要合并其更改的安全通告。
- 要合并临时私有复刻中所有打开的拉取请求,请单击 Merge pull requests(合并拉取请求)。
合并安全通告中的更改后,您可以发布安全通告,以提醒您的社区有关项目早期版本中安全漏洞的信息。 更多信息请参阅“发布存储库安全通告”。
延伸阅读
- "仓库安全通告的权限级别"
- "发布存储库安全通告"