Skip to main content

Creating a repository security advisory

You can create a draft security advisory to privately discuss and fix a security vulnerability in your open source project.

Anyone with admin permissions to a repository can create a security advisory.

注意:如果你是安全研究人员,应直接联系维护人员,要求他们创建安全通告,或在你不管理的存储库中代表你发布 CVE。 但是,如果为存储库启用了私人漏洞报告,则可以自行私下报告漏洞。 有关详细信息,请参阅“私下报告安全漏洞”。

Creating a security advisory

  1. On GitHub.com, navigate to the main page of the repository.
  2. 在存储库名称下,单击“ 安全性”。 “安全”选项卡
  3. 在左侧边栏的“报告”下,单击“通告”。 “安全通告”选项卡
  4. Click New draft security advisory to open the draft advisory form. The fields marked with an asterisk are required. Open draft advisory button
  5. Type a title for your security advisory.
  6. 编辑受此安全通告所述的安全漏洞影响的产品和版本。 如果适用,可以将多个受影响的产品添加到同一公告中。 安全通告元数据 有关如何在表单上指定信息(包括受影响的版本)的信息,请参阅“编写存储库安全通告的最佳做法”。
  7. 选择安全漏洞的严重性。 要分配 CVSS 分数,请选择“Assess severity using CVSS(使用 CVSS 评估严重程度)”,然后单击计算器中的相应值。 GitHub 根据“通用漏洞评分系统计算器”计算分数。 选择严重程度的下拉菜单
  8. 为本安全通告解决的各种安全漏洞添加常见弱点枚举 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见漏洞枚举”。
  9. 如果您有现有的 CVE 标识符,请选择“I have an existing CVE identifier(我有现有的 CVE 标识符)”,并在文本框中键入 CVE 标识符。 否则,您可以稍后从 GitHub 请求 CVE。 有关详细信息,请参阅“关于 GitHub Security Advisories”。
  10. 键入安全漏洞的说明。 安全通告漏洞说明
  11. Click Create draft security advisory. Create security advisory button

Next steps