Hallo, Entdecker! An dieser Seite wird aktiv gearbeitet, oder sie wird noch übersetzt. Die neuesten und genauesten Informationen findest Du in unserer englischsprachigen Dokumentation.

Über GitHub Security Advisories

Du kannst GitHub Security Advisories verwenden, um auf privater Ebene Sicherheitslücken in Deinem Repository zu diskutieren, sie zu beheben und Informationen dazu zu veröffentlichen.

Inhalt dieses Artikels

Jeder, der über Administratorberechtigungen für ein Repository verfügt, kann einen Sicherheitshinweis erstellen.

Jeder, der über Administratorberechtigungen für ein Repository verfügt hat auch Administratorberechtigungen auf alle Sicherheitshinweise in diesem Repository. Personen mit Administratorberechtigungen für einen Sicherheitshinweis können Mitarbeiter hinzufügen und Mitarbeiter haben Schreib-Berechtigungen zu diesem Sicherheitshinweis.

Note: If you are a security researcher, you should directly contact maintainers to ask them to create security advisories or issue CVEs on your behalf in repositories that you don't administer.

Informationen zu GitHub Security Advisories

Vulnerability disclosure is an area where collaboration between vulnerability reporters, such as security researchers, and project maintainers is very important. Both parties need to work together from the moment a potentially harmful security vulnerability is found, right until a vulnerability is disclosed to the world, ideally with a patch available. Typically, when someone lets a maintainer know privately about a security vulnerability, the maintainer develops a fix, validates it, and notifies the users of the project or package. For more information, see "About coordinated disclosure of security vulnerabilities."

GitHub Security Advisories allow repository maintainers to privately discuss and fix a security vulnerability in a project. Nach der Zusammenarbeit an einer Korrektur können Repository-Betreuer den Sicherheitshinweis veröffentlichen, um die Sicherheitslücke für die Projekt-Community öffentlich bekannt zu machen. Durch die Veröffentlichung von Sicherheitshinweisen erleichtern die Repository-Betreuer ihrer Community das aktualisieren von betroffenen Paketen und die Untersuchung der Auswirkungen der Sicherheitslücken.

Mit GitHub Security Advisories kannst Du:

  1. Einen Entwurf für einen Sicherheitshinweis erstellen und den Entwurf benutzen, um die Auswirkung der Schwachstelle auf Dein Projekt privat zu diskutieren. Weitere Informationen findest Du unter „Einen Sicherheitshinweis erstellen."
  2. Privat mit anderen zusammenarbeiten, um die Schwachstelle in einem temporären privaten Fork zu beheben.
  3. Publish the security advisory to alert your community of the vulnerability once a patch is released. Weitere Informationen findest Du unter „Einen Sicherheitshinweis veröffentlichen."

Du kannst auch GitHub Security Advisories verwenden, um die Details einer bereits an einer anderen Stelle offen gelegten Sicherheitslücke erneut zu veröffentlichen, indem Du die Details der Sicherheitslücke kopierst und in eine neue Sicherheitsempfehlung einfügst.

You can give credit to individuals who contributed to a security advisory. Weitere Informationen findest Du unter „Einen Sicherheitshinweis bearbeiten."

Du kannst eine Sicherheitsrichtlinie erstellen, um Personen Anweisungen für das verantwortungsvolle Melden von Sicherheitslücken in Deinem Projekt zu geben. Weitere Informationen findest Du unter „Eine Sicherheitsrichtlinie zu Deinem Repository hinzufügen.“

If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.

Du kannst Dich auch GitHub Security Lab anschließen, um sicherheitsrelevante Themen zu durchsuchen und zu Sicherheitswerkzeugen und -Projekten beizutragen.

CVE-Identifikationsnummern

GitHub Security Advisories basiert auf der Grundlage der 'Common Vulnerabilities and Exposures (CVE)'-Liste (Liste der häufigsten Schwachstellen und Gefährdungen). The security advisory form on GitHub is a standardized form that matches the CVE description format.

GitHub ist eine 'CVE Numbering Authority (CNA)' (Nummerierungsautorität ) und ist berechtigt, CVE-Identifikationsnummern zuzuweisen. Weitere Informationen findest Du unter „Über CVE" und „CVE Numbering Authorities" auf der CVE-Website.

Wenn Du einen Sicherheitshinweis für ein öffentliches Repository auf GitHub erstellst, hast Du die Möglichkeit, eine vorhandene CVE-Identifikationsnummer für die Sicherheitslücke beizufügen. Wenn Du noch keine CVE-Identifikationsnummer für die Sicherheitslücke in Deinem Projekt hast, kannst Du eine CVE-Identifikationsnummer bei GitHub anfordern. GitHub usually reviews the request within 72 hours. Requesting a CVE identification number doesn't make your security advisory public. If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you publish the security advisory.

If you already have a CVE you want to use, for example, if you use a CNA other than GitHub, add it to the security advisory form. This may happen, for example, if you want to get the advisory consistent with other communications you plan to send out at publication time.

If an advisory form doesn't have a CVE, we will request a CVE for you when you publish the advisory.

Once you've published the security advisory and GitHub has assigned a CVE identification number to the vulnerability, GitHub publishes the CVE to the MITRE database. Für weitere Informationen siehe „Einen Sicherheitshinweis veröffentlichen."

Dependabot alerts for published security advisories

GitHub will review each published security advisory, add it to the GitHub Advisory Database, and may use the security advisory to send Dependabot alerts to affected repositories. Wenn der Sicherheitshinweis von einer Fork kommt, senden wir nur dann eine Warnung, wenn der Fork ein Paket besitzt, das unter einem eineindeutigen Namen in einem öffentlichen Paket-Registry veröffentlicht wurde. Dieser Prozess kann bis zu 72 Stunden dauern und GitHub kann Dich für weitere Informationen kontaktieren.

For more information about Dependabot alerts, see "About alerts for vulnerable dependencies" and "About Dependabot security updates." For more information about GitHub Advisory Database, see "Browsing security vulnerabilities in the GitHub Advisory Database."

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Oder, learn how to contribute.