任何对仓库有管理员权限的人都可以创建安全通告。
注:如果您是安全研究人员,应直接联系维护人员,要求他们创建安全通告,或在您不管理的仓库中代表您发布 CVE。
创建安全通告
- 在 GitHub.com 上,导航到仓库的主页面。
- 在仓库名称下,单击 Security(安全)。
- 在左侧边栏中,单击 Security advisories(安全通告)。
- 单击 New draft security advisory(新建安全通告草稿)。
- 键入安全通告的标题。
- 编辑受此安全通告所述的安全漏洞影响的产品和版本。 如果适用,您可以将多个受影响的产品添加到同一通告中。
- 选择安全漏洞的严重性。 要分配 CVSS 分数,请选择“Assess severity using CVSS(使用 CVSS 评估严重程度)”,然后单击计算器中的相应值。 GitHub Enterprise Cloud 根据“常见漏洞评分系统计算器”来计算分数。
- 为本安全通告解决的各种安全漏洞添加常见弱点枚举 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见弱点列举”。
- 如果您有现有的 CVE 标识符,请选择“I have an existing CVE identifier(我有现有的 CVE 标识符)”,并在文本框中键入 CVE 标识符。 否则,您可以稍后从 GitHub 请求 CVE。 更多信息请参阅“关于 GitHub Security Advisories”。
- 键入安全漏洞的说明。
- 单击 Create draft security advisory(创建安全通告草稿)。
后续步骤
- 评论安全通告草稿,与团队讨论漏洞。
- 添加协作者到安全通告。 更多信息请参阅“添加协作者到仓库安全通告”。
- 在临时私有复刻中私下协作以修复漏洞。 更多信息请参阅“在临时私有复刻中协作以解决存储库安全漏洞”。
- 添加因对安全通告做出贡献而应获得积分的个人。 更多信息请参阅“编辑存储库安全通告”。
- 发布安全通告以向社区提醒安全漏洞。 更多信息请参阅“发布存储库安全通告”。