リポジトリセキュリティアドバイザリの公開

セキュリティアドバイザリの管理者権限を持つユーザは、セキュリティアドバイザリを公開できます。

Note: This article applies to editing repository-level advisories as a repository owner.

Users who are not repository owners can contribute to global security advisories in the GitHub Advisory Database at github.com/advisories. グローバルアドバイザリを編集しても、そのアドバイザリがリポジトリでどのように表示されるかは変更されず、影響されることもありません。詳しい情報については「GitHub Advisory Database中のセキュリティアドバイザリの編集」を参照してください。

必要な環境

セキュリティアドバイザリを公開したり、CVE の ID 番号をリクエストしたりする前に、セキュリティアドバイザリのドラフトを作成し、セキュリティの脆弱性の影響を受けるプロジェクトのバージョンに関する情報を提供する必要があります。詳しい情報については、「リポジトリのセキュリティアドバイザリの作成」を参照してください。

セキュリティアドバイザリを作成したが、セキュリティの脆弱性が影響を与えるプロジェクトのバージョンに関する詳細をまだ入力していない場合は、セキュリティアドバイザリを編集できます。詳しい情報については、「リポジトリのセキュリティアドバイザリの編集」を参照してください。

セキュリティアドバイザリの公開について

セキュリティアドバイザリを公開すると、セキュリティアドバイザリが指定するセキュリティの脆弱性についてコミュニティに通知します。セキュリティアドバイザリを公開すると、コミュニティがパッケージの依存関係を更新し、セキュリティの脆弱性の影響を調査しやすくなります。

GitHub Security Advisoriesを使い、すでに別の場所で公開したセキュリティ脆弱性の詳細をコピーして新しいセキュリティアドバイザリに貼り付けることにより、その詳細を再度公開できます。

セキュリティアドバイザリを公開する前に、一時的なプライベートフォークで、脆弱性を修正するため非公式でコラボレートできます。詳細は「一時的なプライベートフォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする」を参照してください。

警告: 可能な限り、アドバイザリを公開する前に、セキュリティアドバイザリに修正バージョンを追加する必要があります。そうしない場合、アドバイザリは修正バージョンなしで公開され、Dependabot は、更新する安全なバージョンを提供することなく、問題についてユーザに警告します。

このような状況では、次のステップを行うことをお勧めします。

修正バージョンが利用可能な場合、可能であれば、修正の準備ができたときに問題を開示するのを待ちます。
修正バージョンが開発中でまだ利用できない場合は、アドバイザリにその旨を記載し、公開後にアドバイザリを編集します。
問題を修正する予定がない場合は、ユーザが修正時期を問い合わせることがないよう、アドバイザリに明示します。この場合、ユーザが問題を軽減するときに使えるステップを含めると便利です。

パブリックリポジトリからドラフトアドバイザリを公開すると、すべてのユーザが次のことを確認できます。

アドバイザリデータの現在のバージョン。
クレジットされたユーザが受け入れたアドバイザリクレジット。

注釈: 一般ユーザは、アドバイザリの編集履歴にアクセスすることはできず、公開されたバージョンのみを見ることができます。

セキュリティアドバイザリの URL は、セキュリティアドバイザリの公開後も公開前と同じままです。リポジトリへの読み取りアクセス権を持つユーザは、セキュリティアドバイザリを閲覧することができます。セキュリティアドバイザリのコラボレータは、管理者権限を持つユーザがコラボレータをセキュリティアドバイザリから削除しない限り、セキュリティアドバイザリでコメントストリーム全体を含む過去の会話を引き続き表示できます。

公開したセキュリティアドバイザリの情報をアップデートまたは修正する必要がある場合は、セキュリティアドバイザリを編集できます。詳しい情報については、「リポジトリのセキュリティアドバイザリの編集」を参照してください。

セキュリティアドバイザリを公開する

セキュリティアドバイザリを公開すると、セキュリティアドバイザリの一時的なプライベートフォークが削除されます。

GitHub.comで、リポジトリのメインページにアクセスしてください。
リポジトリ名の下で Security（セキュリティ）をクリックしてください。
左のサイドバーで、Security advisories（セキュリティアドバイザリ）をクリックしてください。
[Security Advisories] のリストから、公開するセキュリティアドバイザリをクリックします。
ページの下部で、[Publish advisory] をクリックします。

公開されたセキュリティアドバイザリの Dependabotアラート

GitHubは、公開されたそれぞれのセキュリティアドバイザリをレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響されるリポジトリにDependabotアラートを送信することがあります。セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

Dependabotアラートに関する詳しい情報については「Dependabotアラートについて」及び「Dependabotセキュリティアップデートについて」を参照してください。 For more information about GitHub Advisory Database, see "Browsing security advisories in the GitHub Advisory Database."

CVE識別番号をリクエストする（オプション）

If you want a CVE identification number for the security vulnerability in your project, and don't already have one, you can request a CVE identification number from GitHub. GitHubは通常、リクエストを72時間以内にレビューします。 CVE識別番号をリクエストしても、セキュリティアドバイザリはパブリックにはなりません。 If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you make your security advisory public. Anyone with admin permissions to a security advisory can request a CVE identification number.

If you already have a CVE you want to use, for example, if you use a CVE Numbering Authority (CNA) other than GitHub, add the CVE to the security advisory form. これはたとえば、公開時に送信することを計画している他の通信先と、アドバイザリが一貫しているようにしたい場合に生じるかもしれません。 GitHub cannot assign CVEs to your project if it is covered by another CNA. 詳しい情報については「リポジトリのGitHub Security Advisoriesについて」を参照してください。

GitHub.comで、リポジトリのメインページにアクセスしてください。
リポジトリ名の下で Security（セキュリティ）をクリックしてください。
左のサイドバーで、Security advisories（セキュリティアドバイザリ）をクリックしてください。
[Security Advisories] のリストから、CVE 識別番号をリクエストするセキュリティアドバイザリをクリックします。
[Edit] ドロップダウンメニューを使用して、[Request CVE] をクリックします。
[Request CVE] をクリックします。

参考リンク

「リポジトリセキュリティアドバイザリの撤回」