发布安全通告

您可以发布安全通告,向社区提醒项目中的安全漏洞。

对安全通告具有管理员权限的任何人都可发布安全通告。

基本要求

在发布安全通告或申请 CVE 标识号之前,必须创建安全通告草稿,并提供受安全漏洞影响的项目版本的相关信息。 更多信息请参阅“创建安全通告”。

如果您已创建安全通告,但尚未提供有关安全漏洞影响的项目版本的详细信息,则可以编辑安全通告。 更多信息请参阅“编辑安全通告”。

关于发布安全通告

发布安全通告时,会通知您的社区关于该安全通告解决的安全漏洞。 发布安全通告使您的社区能够更轻松地更新包依赖项和研究安全漏洞的影响。

您还可以使用 GitHub Security Advisories 重新发布已在其他地方披露的安全漏洞详细信息,方法是将该漏洞的详细信息复制并粘贴到新的安全通告中。

在发布安全通告之前,您可以私下协作在临时私有复刻中修复漏洞。 更多信息请参阅“在临时私有复刻中协作以解决安全漏洞”。

警告:应尽可能在发布通告之前始终在安全通告中添加一个修复版本。 否则,通告将在没有修复版本的情况下发布,并且 Dependabot 将向您的用户提醒有关问题,而不需提供任何安全版本来更新。

我们建议您在以下不同情况下采取以下步骤:

  • 如果修复版本即将可用,请尽可能等到修复版本准备好后再发布。
  • 如果修复版本正在开发中,但尚不可用,请在通告中提及,等发布后再编辑通告。
  • 如果您不打算修复问题,请在通告中明确说明,以免用户联系您询问何时进行修复。 在这种情况下,列入用户可用于缓解这一问题的步骤会有帮助。

从公共仓库发布通告草稿时,每个人都可以看到:

  • 通告数据的当前版本。
  • 积分用户已接受的任何通告积分。

:公众无权查看通告的编辑历史记录,只能看到已发布的版本。

发布安全通告后,安全通告的 URL 将与发布安全通告之前保持相同。 对仓库具有读取权限的任何人都能看到安全通告。 安全通告的协作者可以继续查看安全通告中过去的对话,包括完整的评论流,除非有管理员权限的人从安全通告删除该协作者。

如果需要更新或更正已发布的安全通告中的信息,可以编辑安全通告。 更多信息请参阅“编辑安全通告”。

发布安全通告

发布安全通告会删除该安全通告的临时私有复刻。

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)Security 选项卡
  3. 在左侧边栏中,单击 Security advisories(安全通告)安全通告选项卡
  4. 在“Security Advisories(安全通告)”列表中,单击您要发布的安全通告。 列表中的安全通告
  5. 在页面底部,单击 Publish advisory(发布通告)发布通告按钮

对于发布的安全通告的 Dependabot 警报

GitHub 将审查每个发布的安全通告,将其添加到 GitHub Advisory Database, 并且可能使用安全通告向受影响的仓库发送 Dependabot 警报 警报。 如果安全通告来自复刻,我们仅当该复刻拥有在公共软件包注册表上以唯一名称发布的软件包时才发送警报。 此过程最长可能需要 72 小时,GitHub 可能会联系您以获取更多信息。

有关 Dependabot 警报 的更多信息,请参阅“关于漏洞信赖项的警报”和“关于 Dependabot 安全更新”。 此过程最长可能需要 72 小时,GitHub 可能会联系您以获取更多信息。

Requesting a CVE identification number (Optional)

If you want a CVE identification number for the security vulnerability in your project, and don't already have one, you can request a CVE identification number from GitHub. GitHub 通常在 72 小时内审核请求。 请求 CVE 识别码不会公开您的安全通告。 If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you make your security advisory public. Anyone with admin permissions to a security advisory can request a CVE identification number.

If you already have a CVE you want to use, for example, if you use a CVE Numbering Authority (CNA) other than GitHub, add the CVE to the security advisory form. 例如,如果您想要获得与计划在发布时间发送的其他通信一致的通告,则可能会发生这种情况。 GitHub cannot assign CVEs to your project if it is covered by another CNA. 更多信息请参阅“关于 GitHub Security Advisories”。

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)Security 选项卡
  3. 在左侧边栏中,单击 Security advisories(安全通告)安全通告选项卡
  4. 在“Security Advisories(安全通告)”列表中,单击要为其申请 CVE 识别号的安全通告。 列表中的安全通告
  5. 使用 Publish advisory(发布通告)下拉菜单,然后单击 Request CVE(申请 CVE)下拉列表中的“申请 CVE”
  6. 单击 Request CVE(申请 CVE)申请 CVE 按钮

延伸阅读

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。