Einen Sicherheitshinweis veröffentlichen

Du kannst einen Sicherheitshinweis veröffentlichen, um Deine Community über eine Sicherheitslücke in Deinem Projekt zu informieren.

Personen mit Administratorberechtigungen für einen Sicherheitshinweis können den Hinweis veröffentlichen.

Vorrausetzungen

Bevor Du einen Sicherheitshinweis veröffentlichen oder eine CVE-Identifikationsnummer anfordern kannst, musst Du einen Entwurf des Sicherheitshinweises erstellen und Informationen über die Versionen Deines Projekts bereitstellen, die von der Sicherheitslücke betroffen sind. Weitere Informationen findest Du unter „Einen Sicherheitshinweis erstellen."

Wenn Du einen Sicherheitshinweis erstellt hast, aber noch keine Details über die Versionen Deines Projekts angegeben hast, die von der Sicherheitslücke betroffen sind, kannst Du den Sicherheitshinweis bearbeiten. Weitere Informationen findest Du unter „Einen Sicherheitshinweis bearbeiten."

Über das Veröffentlichen eines Sicherheitshinweises

Wenn Du einen Sicherheitshinweis veröffentlichst, informierst Du Deine Community über die Sicherheitslücke, die im Sicherheitshinweis adressiert wird. Die Veröffentlichung eines Sicherheitshinweises erleichtert es Deiner Community, die Paket-Abhängigkeiten zu aktualisieren und die Auswirkungen der Sicherheitslücke zu untersuchen.

Du kannst auch GitHub Security Advisories verwenden, um die Details einer bereits an einer anderen Stelle offen gelegten Sicherheitslücke erneut zu veröffentlichen, indem Du die Details der Sicherheitslücke kopierst und in eine neue Sicherheitsempfehlung einfügst.

Bevor Du einen Sicherheitshinweis veröffentlichst, kannst Du privat mit anderen zusammenarbeiten, um die Sicherheitslücke in einem temporären privaten Fork zu beheben. Weitere Informationen findest Du unter „In einem temporären privaten Fork zusammenarbeiten, um eine Sicherheitslücke zu beheben.“

Warning: Whenever possible, you should always add a fix version to a security advisory prior to publishing the advisory. If you don't, the advisory will be published without a fixed version, and Dependabot will alert your users about the issue, without offering any safe version to update to.

We recommend you take the following steps in these different situations:

  • If a fix version is imminently available, and you are able to, wait to disclose the issue when the fix is ready.
  • If a fix version is in development but not yet available, mention this in the advisory, and edit the advisory later, after publication.
  • If you are not planning to fix the issue, be clear about it in the advisory so that your users don't contact you to ask when a fix will be made. In this case, it is helpful to include steps users can take to mitigate the issue.

When you publish a draft advisory from a public repository, everyone is able to see:

  • The current version of the advisory data.
  • Any advisory credits that the credited users have accepted.

Note: The general public will never have access to the edit history of the advisory, and will only see the published version.

Die Veröffentlichung eines Sicherheitshinweises verändert die URL für diesen Sicherheitshinweis nicht, sie bleibt gleich wie vor der Veröffentlichung. Personen mit Lesezugriff auf ein Repository können Sicherheitshinweise sehen. Collaborators on the security advisory can continue to view past conversations, including the full comment stream, in the security advisory unless someone with admin permissions removes the collaborator from the security advisory.

Wenn Du Informationen in einem von Dir veröffentlichten Sicherheitshinweis aktualisieren oder korrigieren musst, kannst Du den Hinweis bearbeiten. Weitere Informationen findest Du unter „Einen Sicherheitshinweis bearbeiten."

CVE-Identifikationsnummer anfordern

Personen mit Administratorberechtigungen auf einem Sicherheitshinweis können einen CVE-Identifikationsnummer für den Hinweis anfordern.

Wenn Du noch keine CVE-Identifikationsnummer für die Sicherheitslücke in Deinem Projekt hast, kannst Du eine CVE-Identifikationsnummer bei GitHub anfordern. GitHub usually reviews the request within 72 hours. Requesting a CVE identification number doesn't make your security advisory public. If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you publish the security advisory.

If you already have a CVE you want to use, for example, if you use a CNA other than GitHub, add it to the security advisory form. This may happen, for example, if you want to get the advisory consistent with other communications you plan to send out at publication time.

If an advisory form doesn't have a CVE, we will request a CVE for you when you publish the advisory. Weitere Informationen findest Du unter „Über GitHub Security Advisories."

  1. Navigiere in GitHub zur Hauptseite des Repository.
  2. Klicke unter Deinem Repository-Namen auf Security (Sicherheit). Registerkarte „Security“ (Sicherheit)
  3. Klicke in der linken Seitenleiste auf Security advisories (Sicherheitshinweise). Registerkarte „Security advisories" (Sicherheitshinweise)
  4. Klicke in der Liste „Security Advisories" (Sicherheitshinweise) auf den Hinweis für den Du eine CVE-Identifikationsnummer anfordern möchtest. Sicherheitshinweis in der Liste
  5. Benutze das Publish advisory (Hinweis veröffentlichen) Dropdownmenü und klicke auf Request CVE (CVE-Identifikationsnummer anfordern). CVE-Identifikationsnummer im Dropdownmenü anfordern
  6. Klicke auf Request CVE (CVE-Identifikationsnummer anfordern). Dropdownmenü „Request CVE" (CVE-Identifikationsnummer anfordern)

Einen Sicherheitshinweis veröffentlichen

Die Veröffentlichung eines Sicherheitshinweises löscht den temporären privaten Fork für den Sicherheitshinweis.

  1. Navigiere in GitHub zur Hauptseite des Repository.
  2. Klicke unter Deinem Repository-Namen auf Security (Sicherheit). Registerkarte „Security“ (Sicherheit)
  3. Klicke in der linken Seitenleiste auf Security advisories (Sicherheitshinweise). Registerkarte „Security advisories" (Sicherheitshinweise)
  4. Klicke in der Liste „Security Advisories“ (Sicherheitshinweise) auf den Hinweis, den Du veröffentlichen möchtest. Sicherheitshinweis in der Liste
  5. Klicke unten auf der Seite auf Publish advisory (Hinweis veröffentlichen). Schaltfläche „Publish advisory“ (Hinweis veröffentlichen)

Dependabot alerts for published security advisories

GitHub will review each published security advisory, add it to the GitHub Advisory Database, and may use the security advisory to send Dependabot alerts to affected repositories. Wenn der Sicherheitshinweis von einer Fork kommt, senden wir nur dann eine Warnung, wenn der Fork ein Paket besitzt, das unter einem eineindeutigen Namen in einem öffentlichen Paket-Registry veröffentlicht wurde. Dieser Prozess kann bis zu 72 Stunden dauern und GitHub kann Dich für weitere Informationen kontaktieren.

For more information about Dependabot alerts, see "About alerts for vulnerable dependencies" and "About Dependabot security updates." For more information about GitHub Advisory Database, see "Browsing security vulnerabilities in the GitHub Advisory Database."

Weiterführende Informationen

Did this doc help you?Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Oder, learn how to contribute.