Veröffentlichen einer Sicherheitsempfehlung für ein Repository

Du kannst einen Sicherheitshinweis veröffentlichen, um Deine Community über eine Sicherheitslücke in Deinem Projekt zu informieren.

In diesem Artikel

Personen mit Administratorberechtigungen für einen Sicherheitshinweis können den Hinweis veröffentlichen.

Hinweis: Dieser Artikel gilt für die Bearbeitung von Empfehlungen auf Repositoryebene als Repositorybesitzer.

Benutzer, die keine Repositorybesitzer sind, können zu globalen Sicherheitsempfehlungen in der GitHub Advisory Database unter github.com/advisories beitragen. Die Bearbeitung globaler Empfehlungen hat keine Auswirkungen auf die Darstellung der Empfehlung im Repository. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Voraussetzungen

Bevor Du einen Sicherheitshinweis veröffentlichen oder eine CVE-Identifikationsnummer anfordern kannst, musst Du einen Entwurf des Sicherheitshinweises erstellen und Informationen über die Versionen Deines Projekts bereitstellen, die von der Sicherheitslücke betroffen sind. Weitere Informationen findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository.

Wenn Du einen Sicherheitshinweis erstellt hast, aber noch keine Details über die Versionen Deines Projekts angegeben hast, die von der Sicherheitslücke betroffen sind, kannst Du den Sicherheitshinweis bearbeiten. Weitere Informationen findest du unter Bearbeiten einer Sicherheitsempfehlung für ein Repository.

Über das Veröffentlichen eines Sicherheitshinweises

Wenn Du einen Sicherheitshinweis veröffentlichst, informierst Du Deine Community über die Sicherheitslücke, die im Sicherheitshinweis adressiert wird. Die Veröffentlichung eines Sicherheitshinweises erleichtert es Deiner Community, die Paket-Abhängigkeiten zu aktualisieren und die Auswirkungen der Sicherheitslücke zu untersuchen.

Du kannst auch Sicherheitsempfehlungen für Repositorys verwenden, um die Details eines bereits an anderer Stelle gemeldeten Sicherheitsrisikos erneut zu veröffentlichen. Kopiere hierfür die Details des Sicherheitsrisikos, und füge sie in eine neue Sicherheitsempfehlung ein.

Bevor Du einen Sicherheitshinweis veröffentlichst, kannst Du privat mit anderen zusammenarbeiten, um die Sicherheitslücke in einem temporären privaten Fork zu beheben. Weitere Informationen findest du unter Zusammenarbeit in einem temporären privaten Fork, um eine Sicherheitslücke im Repository zu beheben.

Warnung: Nach Möglichkeit solltest du einer Sicherheitsempfehlung immer einen Fix zur Korrektur hinzufügen, bevor du die Empfehlung veröffentlichst. Andernfalls wird die Empfehlung ohne eine korrigierte Version veröffentlicht, und Dependabot informiert deine Benutzer über das Problem, ohne ihnen eine sichere Version zum Update anzubieten.

Wir empfehlen dir, in verschiedenen Situationen die folgenden Schritte zu unternehmen:

  • Wenn in Kürze eine Korrekturversion zur Verfügung steht und es für dich möglich ist, warte mit der Meldung des Problems, bis der Fix zur Verfügung steht.
  • Wenn sich eine Korrekturversion in der Entwicklung befindet, aber noch nicht verfügbar ist, erwähne dies in der Empfehlung und bearbeite die Empfehlung nach der Veröffentlichung des Fixes.
  • Wenn keine Behebung des Problems geplant ist, solltest du das in der Empfehlung klar zum Ausdruck bringen, damit sich deine Benutzer nicht mit der Frage an dich wenden, wann ein Fix veröffentlicht wird. In diesem Fall ist es hilfreich, Schritte anzugeben, mit denen die Benutzer das Problem entschärfen können.

Wenn du einen Entwurf für eine Empfehlung aus einem öffentlichen Repository veröffentlichst, sind die folgenden Informationen für alle sichtbar:

  • Die aktuelle Version der Empfehlungsdaten.
  • Alle Empfehlungsgutschriften, die Benutzer mit Gutschriften angenommen haben.

Anmerkung: Die Öffentlichkeit hat keinen Zugriff auf die Bearbeitungsverlauf der Empfehlung, sondern sieht nur die veröffentlichte Version.

Die Veröffentlichung eines Sicherheitshinweises verändert die URL für diesen Sicherheitshinweis nicht, sie bleibt gleich wie vor der Veröffentlichung. Personen mit Lesezugriff auf ein Repository können Sicherheitshinweise sehen. Mitwirkende an der Sicherheitsempfehlung können auch weiterhin frühere Unterhaltungen, einschließlich sämtlicher Kommentare, in der Sicherheitsempfehlung einsehen, es sei denn, ein Administrator entfernt den Mitwirkenden aus der Sicherheitsempfehlung.

Wenn Du Informationen in einem von Dir veröffentlichten Sicherheitshinweis aktualisieren oder korrigieren musst, kannst Du den Hinweis bearbeiten. Weitere Informationen findest du unter Bearbeiten einer Sicherheitsempfehlung für ein Repository.

Einen Sicherheitshinweis veröffentlichen

Die Veröffentlichung eines Sicherheitshinweises löscht den temporären privaten Fork für den Sicherheitshinweis.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Wähle auf der linken Randleiste unter „Berichterstellung“ die Option Empfehlungen aus.

  4. Wähle in der Liste „Sicherheitshinweise“ den Hinweis aus, den du veröffentlichen möchtest.

  5. Scrolle zum Ende des Formulars mit den Hinweisen, und wähle Hinweis veröffentlichen aus.

    Screenshot des Bereichs „Erforderliche Hinweisinformationen wurden bereitgestellt“ im Entwurf eines Sicherheitshinweises. Die Schaltfläche „Hinweis veröffentlichen“ ist dunkelorange umrandet.

Hinweis: Wenn du „CVE-ID später anfordern“ ausgewählt hast, wird anstelle der Schaltfläche Hinweis veröffentlichen die Schaltfläche CVE anfordern angezeigt. Weitere Informationen findest du weiter unten unter Anfordern einer CVE-Identifikationsnummer (optional).

Dependabot alerts for published security advisories

GitHub überprüft jede veröffentlichte Sicherheitsempfehlung, fügt sie der GitHub Advisory Database hinzu und verwendet sie möglicherweise zum Senden von Dependabot alerts an betroffene Repositorys. Wenn der Sicherheitshinweis von einer Fork kommt, senden wir nur dann eine Warnung, wenn der Fork ein Paket besitzt, das unter einem eineindeutigen Namen in einem öffentlichen Paket-Registry veröffentlicht wurde. Dieser Prozess kann bis zu 72 Stunden dauern und GitHub kann Dich für weitere Informationen kontaktieren.

Weitere Informationen zu Dependabot alerts findest du unter Informationen zu Dependabot-Warnungen und Informationen zu Dependabot-Sicherheitsupdates. Weitere Informationen zur GitHub Advisory Database findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.

Anfordern einer CVE-Identifikationsnummer (optional)

Wenn du eine CVE-Identifikationsnummer für das Sicherheitsrisiko in deinem Projekt wünschst und noch keine hast, kannst du eine CVE-Identifikationsnummer bei GitHub anfordern. GitHub prüft die Anforderung normalerweise binnen 72 Stunden. Durch Anfordern einer CVE-Identifikationsnummer wird deine Sicherheitsempfehlung nicht publik gemacht. Wenn deine Sicherheitsempfehlung für ein CVE in Frage kommt, reserviert GitHub eine CVE-Identifikationsnummer für deine Empfehlung. Wir veröffentlichen dann die CVE-Details, nachdem du deine Sicherheitsempfehlung publik gemacht hast. Personen mit Administratorberechtigungen für eine Sicherheitsempfehlung können eine CVE-Identifikationsnummer anfordern.

Wenn du bereits eine CVE hast, die du verwenden möchtest, z. B. weil du eine andere CNA (CVE Numbering Authority) als GitHub verwendest, füge die CVE in das Sicherheitsempfehlungsformular ein. Das kann z. B. der Fall sein, wenn du die Empfehlung mit anderen Mitteilungen in Einklang bringen möchtest, die du zum Veröffentlichungszeitpunkt senden möchtest. GitHub kann deinem Projekt keine CVEs zuweisen, wenn es von einer anderen CNA bearbeitet wird. Weitere Informationen findest du unter Informationen zu Sicherheitsempfehlungen für Repositorys.

  1. Navigiere auf GitHub.com zur Hauptseite des Repositorys.

  2. Wähle unter dem Repositorynamen die Option Sicherheit aus. Wenn die Registerkarte „Sicherheit“ nicht angezeigt wird, wähle im Dropdownmenü die Option Sicherheit aus.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Wähle auf der linken Randleiste unter „Berichterstellung“ die Option Empfehlungen aus.

  4. Wähle in der Liste „Sicherheitshinweise“ den Namen des Sicherheitshinweises aus, für den du eine CVE-Identifikationsnummer anfordern möchtest.

  5. Scrolle zum Ende des Formulars mit den Hinweisen, und wähle CVE anfordern aus.

    Screenshot des Bereichs „Erforderliche Hinweisinformationen wurden bereitgestellt“ im Entwurf eines Sicherheitshinweises. Die Schaltfläche „CVE anfordern“ ist dunkelorange umrandet.

Weiterführende Themen