Jeder, der über Administratorberechtigungen für ein Repository verfügt, kann einen Sicherheitshinweis erstellen.
Jeder, der über Administratorberechtigungen für ein Repository verfügt hat auch Administratorberechtigungen auf alle Sicherheitshinweise in diesem Repository. Personen mit Administratorberechtigungen für einen Sicherheitshinweis können Mitarbeiter hinzufügen und Mitarbeiter haben Schreib-Berechtigungen zu diesem Sicherheitshinweis.
Hinweis: Wenn du Sicherheitsforscher bist, solltest du dich direkt an die Betreuer wenden und sie bitten, Sicherheitshinweise zu erstellen oder in deinem Auftrag CVEs in Repositorys zu erstellen, die nicht von dir verwaltet werden. Wenn jedoch das private Melden von Sicherheitsrisiken für das Repository aktiviert ist, kannst du selbst ein Sicherheitsrisiko privat melden. Weitere Informationen findest du unter Privates Melden eines Sicherheitsrisikos.
About repository security advisories
Die Aufdeckung von Sicherheitsrisiken ist ein Bereich, in dem die Zusammenarbeit zwischen denjenigen, die Sicherheitsrisiken melden, z. B. Sicherheitsforscher, und den Projektbetreuern sehr wichtig ist. Beide Parteien müssen zusammenarbeiten, und zwar von dem Moment an, in dem eine potenziell gefährliche Sicherheitslücke gefunden wird, bis zu dem Zeitpunkt, an dem die Schwachstelle öffentlich gemacht wird, idealerweise mit einem entsprechenden Patch. Wenn ein Projektbetreuer privat über ein Sicherheitsrisiko informiert wird, entwickelt er in der Regel einen Fix, prüft ihn und benachrichtigt die Benutzer des Projekts oder Pakets. For more information, see "Informationen zur koordinierten Offenlegung von Sicherheitsrisiken."
Mithilfe von Sicherheitsempfehlungen für Repositorys können Repositoryverwalter*innen ein Sicherheitsrisiko in einem Projekt privat besprechen und beheben. Nach der Zusammenarbeit an einer Lösung können Repositoryverwalter die Sicherheitsempfehlung veröffentlichen, um das Sicherheitsrisiko öffentlich für die Community des Projekts offenzulegen. Durch die Veröffentlichung von Sicherheitsempfehlungen erleichtern Repositoryverwalter ihrer Community das Aktualisieren von Paketabhängigkeiten und das Untersuchen der Auswirkungen von Sicherheitsrisiken.
With repository security advisories, you can:
- Create a draft security advisory, and use the draft to privately discuss the impact of the vulnerability on your project. For more information, see "Erstellen einer Sicherheitsempfehlung für ein Repository."
- Privately collaborate to fix the vulnerability in a temporary private fork.
- Publish the security advisory to alert your community of the vulnerability once a patch is released. For more information, see "Veröffentlichen einer Sicherheitsempfehlung für ein Repository."
Du kannst auch Sicherheitsempfehlungen für Repositorys verwenden, um die Details eines bereits an anderer Stelle gemeldeten Sicherheitsrisikos erneut zu veröffentlichen. Kopiere hierfür die Details des Sicherheitsrisikos, und füge sie in eine neue Sicherheitsempfehlung ein.
You can also use the REST API to create, list, and update repository security advisories. For more information, see "Sicherheitsempfehlungen für Repositorys" in the REST API documentation.
You can give credit to individuals who contributed to a security advisory. For more information, see "Bearbeiten einer Sicherheitsempfehlung für ein Repository."
Du kannst eine Sicherheitsrichtlinie erstellen, um Anweisungen für das Melden von Sicherheitsrisiken in deinem Projekt zu geben. Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.
If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. Anyone can submit a change to an advisory published in the GitHub Advisory Database. For more information, see "Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database."
If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.
Du kannst auch GitHub Security Lab beitreten, um sicherheitsbezogene Themen zu durchsuchen und zu Sicherheitstools und Projekten beizutragen.
CVE identification numbers
GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. The security advisory form on GitHub is a standardized form that matches the CVE description format.
GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.
When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. Wenn du eine CVE-Identifikationsnummer für das Sicherheitsrisiko in deinem Projekt wünschst und noch keine hast, kannst du eine CVE-Identifikationsnummer bei GitHub anfordern. GitHub prüft die Anforderung normalerweise binnen 72 Stunden. Durch Anfordern einer CVE-Identifikationsnummer wird deine Sicherheitsempfehlung nicht publik gemacht. Wenn deine Sicherheitsempfehlung für ein CVE in Frage kommt, reserviert GitHub eine CVE-Identifikationsnummer für deine Empfehlung. Wir veröffentlichen dann die CVE-Details, nachdem du deine Sicherheitsempfehlung publik gemacht hast. Personen mit Administratorberechtigungen für eine Sicherheitsempfehlung können eine CVE-Identifikationsnummer anfordern.
Wenn du bereits eine CVE hast, die du verwenden möchtest, z. B. weil du eine andere CNA (CVE Numbering Authority) als GitHub verwendest, füge die CVE in das Sicherheitsempfehlungsformular ein. Das kann z. B. der Fall sein, wenn du die Empfehlung mit anderen Mitteilungen in Einklang bringen möchtest, die du zum Veröffentlichungszeitpunkt senden möchtest. GitHub kann deinem Projekt keine CVEs zuweisen, wenn es von einer anderen CNA bearbeitet wird.
Once you've published the security advisory and GitHub has assigned a CVE identification number to the vulnerability, GitHub publishes the CVE to the MITRE database. For more information, see "Veröffentlichen einer Sicherheitsempfehlung für ein Repository."
Dependabot alerts for published security advisories
GitHub überprüft jede veröffentlichte Sicherheitsempfehlung, fügt sie der GitHub Advisory Database hinzu und verwendet sie möglicherweise zum Senden von Dependabot alerts an betroffene Repositorys. Wenn der Sicherheitshinweis von einer Fork kommt, senden wir nur dann eine Warnung, wenn der Fork ein Paket besitzt, das unter einem eineindeutigen Namen in einem öffentlichen Paket-Registry veröffentlicht wurde. Dieser Prozess kann bis zu 72 Stunden dauern und GitHub kann Dich für weitere Informationen kontaktieren.
Weitere Informationen zu Dependabot alerts findest du unter Informationen zu Dependabot-Warnungen und Informationen zu Dependabot-Sicherheitsupdates. Weitere Informationen zur GitHub Advisory Database findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.