Skip to main content

リポジトリ セキュリティ アドバイザリの作成

この記事では、次の項目が扱われます。

セキュリティアドバイザリのドラフトを作成して、オープンソースプロジェクトのセキュリティ脆弱性について非公開で議論して修正することができます。

リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。

注: セキュリティ研究者の場合は、保守担当者に直接連絡して、自分が管理していないリポジトリで自分に代わってセキュリティ アドバイザリを作成または CVE を発行するように依頼する必要があります。

セキュリティ アドバイザリの作成

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [Security](セキュリティ) をクリックします。 [セキュリティ] タブ 1. サイドバーで、 [セキュリティ アドバイザリ] をクリックします。 [セキュリティ アドバイザリ] タブ
  2. [セキュリティ アドバイザリの新しいドラフト] をクリックします。 [アドバイザリのドラフトを開く] ボタン
  3. セキュリティアドバイザリのタイトルを入力します。
  4. このセキュリティアドバイザリが対応するセキュリティ脆弱性に影響される製品とバージョンを編集してください。 該当する場合は、影響を受ける複数の製品を同じアドバイザリに追加できます。 セキュリティ アドバイザリのメタデータ 1. セキュリティ脆弱性の重要度を選択してください。 CVSSスコアを割り当てるには、"Assess severity using CVSS(CVSSを使って重要度を評価)"を選択し、適切な値を計算機でクリックしてください。 GitHub は "一般的な脆弱性スコアリング システム計算ツール" に従ってスコアを計算します。 重要度を選ぶためのドロップダウン メニュー 1. このセキュリティアドバイザリが指摘しているセキュリティ脆弱性の種類に対する共通脆弱性タイプ一覧(CWEs)を追加してください。 CWE の完全な一覧については、MITRE の「Common Weakness Enumeration」を参照してください。
  5. 既存のCVE識別子を持っているなら、"I have an existing CVE identifier(既存のCVE識別子を持っています) "を選択し、テキストボックスにCVE識別子を入力してください。 そうでない場合は、後でGitHubからCVEをリクエストできます。 詳細については、「GitHub Security Advisories について」を参照してください。 1. セキュリティ脆弱性についての説明を入力します。 セキュリティ アドバイザリの脆弱性の説明
  6. [セキュリティ アドバイザリのドラフトの作成] をクリックします。 [セキュリティ アドバイザリの作成] ボタン

次の手順