Note
Dieser Artikel gilt für die Bearbeitung von Empfehlungen auf Repositoryebene als Besitzer eines öffentlichen Repositorys.
Benutzer, die keine Repositorybesitzer sind, können zu globalen Sicherheitsempfehlungen in der GitHub Advisory Database unter github.com/advisories beitragen. Die Bearbeitung globaler Empfehlungen hat keine Auswirkungen auf die Darstellung der Empfehlung im Repository. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.
Einen Sicherheitshinweis bearbeiten
Du kannst auch die REST-API verwenden, um Sicherheitsempfehlungen für Repositorys zu bearbeiten. Weitere Informationen finden Sie unter REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.
-
Wähle auf der linken Randleiste unter „Berichterstellung“ die Option Empfehlungen aus.
-
Wähle in der Liste „Sicherheitsempfehlungen“ die Sicherheitsempfehlung aus, die du bearbeiten möchtest.
-
Wähle in der rechten oberen Ecke der Details zur Sicherheitsempfehlung die Option Empfehlung bearbeiten aus. Dadurch wird das Formular für Sicherheitsempfehlungen im Bearbeitungsmodus geöffnet.
-
Verwende das Dropdownmenü CVE-Bezeichner, um anzugeben, ob du bereits über einen CVE-Bezeichner verfügst oder ob du planst, später einen von GitHub anzufordern. Wenn du bereits über einen CVE-Bezeichner verfügst, wähle Ich verfüge über einen vorhandene CVE-Bezeichner aus, um das Feld Vorhandener CVE-Bezeichner anzuzeigen, und gib den CVE-Bezeichner in das Textfeld ein. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.
-
Gib im Feld Beschreibung eine Beschreibung des Sicherheitsrisikos ein, einschließlich ihrer Auswirkungen, aller verfügbaren Patches oder Problemumgehungen sowie eventueller Verweise.
-
Gib unter „Betroffene Produkte“ das Ökosystem, den Paketnamen, die betroffenen/gepatchten Versionen und die anfälligen Funktionen für das Sicherheitsrisiko an, das dieser Sicherheitshinweis beschreibt. Falls zutreffend, kannst du mehrere betroffene Produkte zum gleichen Hinweis hinzufügen, indem du auf Ein weiteres betroffenes Produkt hinzufügen klickst.
Informationen zur Eingabe von Informationen im Formular, einschließlich der betroffenen Versionen, findest du unter Bewährte Methoden für das Schreiben von Sicherheitsempfehlungen für Repositorys.
-
Definiere den Schweregrad des Sicherheitsrisikos mithilfe des Dropdownmenüs Schweregrad. Wenn du einen CVSS-Score (Common Vulnerability Scoring System) berechnen möchtest, wähle Schweregrad mithilfe von CVSS bewerten und dann die entsprechenden Werte im Rechner aus. GitHub Enterprise Cloud berechnet den Score gemäß dem Common Vulnerability Scoring System Calculator.
-
Gib unter „Schwächen“ im Feld Common Weakness Enumerator die Common Weakness Enumerators (CWEs) ein, die die mit diesem Sicherheitshinweis gemeldeten Arten von Sicherheitsschwachstellen beschreiben. Eine vollständige Liste der CWEs findest du in der Common Weakness Enumeration von MITRE.
-
Entferne optional unter „Anerkennungen“ vorhandene Anerkennungen, oder verwende das Suchfeld, um weitere Personen zu finden, die du der Sicherheitsempfehlung zuordnen möchtest, und wähle dann deren Benutzernamen aus, um sie hinzuzufügen.
-
Verwende das Dropdownmenü neben dem Namen der Person, die du erwähnst, um ihr einen Anerkennungstyp zuzuweisen. Weitere Informationen zu Anerkennungstypen findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository.
-
Um jemanden zu entfernen, wähle optional neben dem Anerkennungstyp aus.
-
-
Klicke auf Sicherheitsempfehlung aktualisieren.
Die Personen, die im Abschnitt „Anerkennungen“ aufgeführt sind, erhalten eine E-Mail oder Webbenachrichtigung, in der sie eingeladen werden, diese zu akzeptieren. Wenn eine Person akzeptiert, wird ihr Benutzername öffentlich sichtbar, sobald die Sicherheitsempfehlung veröffentlicht wird.