我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

发布安全通告

您可以发布安全通告,向社区提醒项目中的安全漏洞。

本文内容

对安全通告具有管理员权限的任何人都可发布安全通告。

基本要求

在发布安全通告或申请 CVE 标识号之前,必须创建安全通告草稿,并提供受安全漏洞影响的项目版本的相关信息。 更多信息请参阅“创建安全通告”。

如果您已创建安全通告,但尚未提供有关安全漏洞影响的项目版本的详细信息,则可以编辑安全通告。 更多信息请参阅“编辑安全通告”。

关于发布安全通告

发布安全通告时,会通知您的社区关于该安全通告解决的安全漏洞。 发布安全通告使您的社区能够更轻松地更新包依赖项和研究安全漏洞的影响。

您还可以使用 GitHub Security Advisories 重新发布已在其他地方披露的安全漏洞详细信息,方法是将该漏洞的详细信息复制并粘贴到新的安全通告中。

在发布安全通告之前,您可以私下协作在临时私有复刻中修复漏洞。 更多信息请参阅“在临时私有复刻中协作以解决安全漏洞”。

从公共仓库发布通告草稿时,每个人都可以看到:

  • 通告数据的当前版本。
  • 积分用户已接受的任何通告积分。

:公众无权查看通告的编辑历史记录,只能看到已发布的版本。

发布安全通告后,安全通告的 URL 将与发布安全通告之前保持相同。 对仓库具有读取权限的任何人都能看到安全通告。 安全通告的协作者可以继续查看安全通告中过去的对话,包括完整的评论流,除非有管理员权限的人从安全通告删除该协作者。

如果需要更新或更正已发布的安全通告中的信息,可以编辑安全通告。 更多信息请参阅“编辑安全通告”。

申请 CVE 识别号

对安全通告具有管理员权限的任何人都可以为安全通告申请 CVE 标识号。

如果项目中尚无表示安全漏洞的 CVE 识别码,您可以从 GitHub 请求一个 CVE 识别码。 GitHub 通常在 72 小时内审核请求。 请求 CVE 识别码不会公开您的安全通告。 如果您的安全通告符合 CVE 条件,GitHub 将为您的通告保留 CVE 识别码。 然后,我们将在发布安全通告后发布 CVE 详细信息。 更多信息请参阅“关于 GitHub Security Advisories”。

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)
    Security 选项卡
  3. 在左侧边栏中,单击 Security advisories(安全通告)
    安全通告选项卡
  4. 在“Security Advisories(安全通告)”列表中,单击要为其申请 CVE 识别号的安全通告。
    列表中的安全通告
  5. 使用 Publish advisory(发布通告)下拉菜单,然后单击 Request CVE(申请 CVE)
    下拉列表中的“申请 CVE”
  6. 单击 Request CVE(申请 CVE)
    申请 CVE 按钮

发布安全通告

发布安全通告会删除该安全通告的临时私有复刻。

  1. 在 GitHub 上,导航到仓库的主页面。
  2. 在仓库名称下,单击 Security(安全)
    Security 选项卡
  3. 在左侧边栏中,单击 Security advisories(安全通告)
    安全通告选项卡
  4. 在“Security Advisories(安全通告)”列表中,单击您要发布的安全通告。
    列表中的安全通告
  5. 在页面底部,单击 Publish advisory(发布通告)
    发布通告按钮

对于发布的安全通告的 Dependabot alerts

GitHub 将审查每个发布的安全通告,将其添加到 GitHub Advisory Database, 并且可能使用安全通告向受影响的仓库发送 Dependabot alerts 警报。 如果安全通告来自复刻,我们仅当该复刻拥有在公共软件包注册表上以唯一名称发布的软件包时才发送警报。 此过程最长可能需要 72 小时,GitHub 可能会联系您以获取更多信息。

GitHub will review each published security advisory, add it to the GitHub Advisory Database, and may use the security advisory to send Dependabot alerts to affected repositories. 如果安全通告来自复刻,我们仅当该复刻拥有在公共软件包注册表上以唯一名称发布的软件包时才发送警报。 此过程最长可能需要 72 小时,GitHub 可能会联系您以获取更多信息。

延伸阅读

此文档对您有帮助吗?

Privacy policy

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。