Skip to main content

Erstellen einer Sicherheitsempfehlung für ein Repository

Du kannst einen Entwurf eines Sicherheitshinweises erstellen, um privat über die Sicherheitslücke in Deinem Open-Source-Projekt zu diskutieren und sie zu beheben.

Wer kann dieses Feature verwenden?

Anyone with admin permissions to a public repository, or with a security manager role within the repository, can create a security advisory.

Hinweis: Wenn du Sicherheitsforscher bist, solltest du dich direkt an die Betreuer wenden und sie bitten, Sicherheitshinweise zu erstellen oder in deinem Auftrag CVEs in Repositorys zu erstellen, die nicht von dir verwaltet werden. Wenn jedoch das private Melden von Sicherheitsrisiken für das Repository aktiviert ist, können Sie selbst ein Sicherheitsrisiko privat melden. Weitere Informationen findest du unter Privates Melden eines Sicherheitsrisikos.

Erstellen einer Sicherheitsempfehlung

Du kannst auch die REST-API verwenden, um Sicherheitsempfehlungen für Repositorys zu erstellen. Weitere Informationen findest du unter REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Wähle auf der linken Randleiste unter „Berichterstellung“ die Option Empfehlungen aus.

  4. Klicke auf Neue Sicherheitsempfehlung entwerfen, um das Entwurfsformular für Empfehlungen zu öffnen. Mit einem Sternchen gekennzeichnete Felder müssen ausgefüllt werden.

  5. Gib im Feld Titel einen Titel für deine Sicherheitsempfehlung ein.

  6. Verwende das Dropdownmenü CVE-Bezeichner, um anzugeben, ob du bereits über einen CVE-Bezeichner verfügst oder ob du planst, später einen von GitHub anzufordern. Wenn du bereits über einen CVE-Bezeichner verfügst, wähle Ich verfüge über einen vorhandene CVE-Bezeichner aus, um das Feld Vorhandener CVE-Bezeichner anzuzeigen, und gib den CVE-Bezeichner in das Textfeld ein. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.

  7. Gib im Feld Beschreibung eine Beschreibung des Sicherheitsrisikos ein, einschließlich ihrer Auswirkungen, aller verfügbaren Patches oder Problemumgehungen sowie eventueller Verweise.

  8. Gib unter „Betroffene Produkte“ das Ökosystem, den Paketnamen, die betroffenen/gepatchten Versionen und die anfälligen Funktionen für das Sicherheitsrisiko an, das dieser Sicherheitshinweis beschreibt. Falls zutreffend, kannst du mehrere betroffene Produkte zum gleichen Hinweis hinzufügen, indem du auf Ein weiteres betroffenes Produkt hinzufügen klickst.

    Informationen zur Eingabe von Informationen im Formular, einschließlich der betroffenen Versionen, findest du unter Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys.

  9. Definiere den Schweregrad des Sicherheitsrisikos mithilfe des Dropdownmenüs Schweregrad. Wenn du einen CVSS-Score (Common Vulnerability Scoring System) berechnen möchtest, wähle Schweregrad mithilfe von CVSS bewerten und dann die entsprechenden Werte im Rechner aus. GitHub Enterprise Cloud berechnet den Score gemäß dem Common Vulnerability Scoring System Calculator.

  10. Gib unter „Schwächen“ im Feld Common Weakness Enumerator die Common Weakness Enumerators (CWEs) ein, die die mit diesem Sicherheitshinweis gemeldeten Arten von Sicherheitsschwachstellen beschreiben. Eine vollständige Liste der CWEs findest du in der Common Weakness Enumeration von MITRE.

  11. Optional kannst du unter „Anerkennungen“ Anerkennungen hinzufügen, indem du nach einem GitHub-Benutzernamen, der E-Mail-Adresse, die dem GitHub-Konto zugeordnet ist, oder nach dem vollständigen Namen suchst.

  12. Klicke auf Entwurf für Sicherheitsempfehlung erstellen.

Die Personen, die im Abschnitt „Anerkennungen“ aufgeführt sind, erhalten eine E-Mail oder Webbenachrichtigung, in der sie eingeladen werden, diese zu akzeptieren. Wenn eine Person akzeptiert, wird ihr Benutzername öffentlich sichtbar, sobald die Sicherheitsempfehlung veröffentlicht wird.

Informationen zu Sicherheitsempfehlungen für Repositorys

Du kannst Personen, die beim Entdecken, Melden oder Beheben eines Sicherheitsrisikos geholfen, eine Anerkennung zuweisen. Wenn du jemandem eine Anerkennung zuteil werden lässt, kann diese Person entscheiden, ob sie die Anerkennung annimmt oder ablehnt.

Du kannst Personen verschiedene typen von Anerkennungen zuweisen.

AnerkennungstypGrund
FinderIdentifiziert das Sicherheitsrisiko
MelderBenachrichtigt den Anbieter über das Sicherheitsrisiko für eine CNA
AnalytikerÜberprüft das Sicherheitsrisiko, um Genauigkeit oder Schweregrad sicherzustellen
KoordinatorFührt den koordinierten Reaktionsprozess durch
KorrekturentwicklerBereitet eine Codeänderung oder andere Wartungspläne vor
KorrekturprüferÜberprüft Pläne zur Behebung von Sicherheitsrisiken oder Codeänderungen auf Effektivität und Vollständigkeit
KorrekturbestätigerTestet und überprüft das Sicherheitsrisiko oder seine Korrektur
ToolNamen von Tools, die bei der Ermittlung oder Identifizierung von Sicherheitsrisiken verwendet werden
ProjektsponsorUnterstützt die Aktivitäten zur Identifizierung oder Korrektur von Sicherheitsrisiken

Wenn die Person die Anerkennung annimmt, wird ihr Benutzername im Abschnitt „Anerkennungen“ der Sicherheitsempfehlung angezeigt. Alle Personen mit Lesezugriff auf das Repository können die Sicherheitsempfehlung sowie diejenigen Personen sehen, die eine Anerkennung angenommen haben.

Note

Wenn du der Meinung bist, eine Anerkennung für eine Sicherheitsempfehlung verdient zu haben, wende dich an die Person, die die Empfehlung erstellt hat, und bitte sie, deine Anerkennung in die Empfehlung aufzunehmen. Nur die Person, die eine Empfehlung erstellt hat, kann die Anerkennung zuweisen. Wende dich daher nicht an den GitHub-Support, wenn es um Anerkennungen für Sicherheitsempfehlungen geht.

Nächste Schritte