ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

GitHub セキュリティアドバイザリについて

GitHub Security Advisories を使用して、リポジトリにおけるセキュリティの脆弱性に関する情報を非公開で議論、修正、公開できます。

ここには以下の内容があります:

リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。

リポジトリに対する管理者権限を持っている人は、そのリポジトリ内のすべてのセキュリティアドバイザリに対する管理権限も持ちます。 セキュリティアドバイザリに対する管理者権限を持っている人は、コラボレータを追加でき、コラボレータはセキュリティアドバイザリに対する書き込み権限を持ちます。

Note: If you are a security researcher, you should directly contact maintainers to ask them to create security advisories or issue CVEs on your behalf in repositories that you don't administer.

GitHub Security Advisories について

Vulnerability disclosure is an area where collaboration between vulnerability reporters, such as security researchers, and project maintainers is very important. Both parties need to work together from the moment a potentially harmful security vulnerability is found, right until a vulnerability is disclosed to the world, ideally with a patch available. Typically, when someone lets a maintainer know privately about a security vulnerability, the maintainer develops a fix, validates it, and notifies the users of the project or package. For more information, see "About coordinated disclosure of security vulnerabilities."

GitHub Security Advisories allow repository maintainers to privately discuss and fix a security vulnerability in a project. リポジトリメンテナは、修正に協力した後、セキュリティアドバイザリを公開して、プロジェクトのコミュニティにセキュリティの脆弱性を公開します。 リポジトリメンテナは、セキュリティアドバイザリを公開することで、コミュニティがパッケージの依存関係を更新し、セキュリティの脆弱性の影響を調査しやすくなります。

GitHub Security Advisories では、次のことができます。

  1. セキュリティアドバイザリのドラフトを作成し、そのドラフトを用いて、プロジェクトに対する脆弱性の影響について非公開で議論します。 詳しい情報については、「セキュリティアドバイザリを作成する」を参照してください。
  2. 一時的なプライベートフォークで、脆弱性を修正するため非公式でコラボレートします。
  3. Publish the security advisory to alert your community of the vulnerability once a patch is released. 詳しい情報については、「セキュリティアドバイザリを公開する」を参照してください。

GitHub Security Advisoriesを使い、すでに別の場所で公開したセキュリティ脆弱性の詳細をコピーして新しいセキュリティアドバイザリに貼り付けることにより、その詳細を再度公開できます。

セキュリティアドバイザリに貢献した個人にクレジットを付与することができます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。

セキュリティポリシーを作成して、プロジェクト中のセキュリティ脆弱性を責任を持って報告するための指示を出すことができます。 詳しい情報については「リポジトリへのセキュリティポリシーの追加」を参照してください。

If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.

GitHub Security Labに加わり、セキュリティ関連のトピックをブラウズし、セキュリティのツールやプロジェクトに貢献することもできます。

CVE 識別番号

GitHub Security Advisories は、Common Vulnerabilities and Exposures (CVE) リストに基づいています。 The security advisory form on GitHub is a standardized form that matches the CVE description format.

GitHub は CVE Numbering Authority (CNA) であり、CVE 識別番号を割り当てる権限があります。 詳細については、CVE Web サイトの「CVE について」および「CVE Numbering Authorities」を参照してください。

GitHub でパブリックリポジトリのセキュリティアドバイザリを作成する場合、セキュリティの脆弱性に対する既存の CVE 識別番号を提供するオプションがあります。 まだプロジェクト中のセキュリティ脆弱性に対するCVE識別番号を持っていない場合は、GitHubにCVE識別番号をリクエストできます。 GitHub usually reviews the request within 72 hours. Requesting a CVE identification number doesn't make your security advisory public. If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you publish the security advisory.

If you already have a CVE you want to use, for example, if you use a CNA other than GitHub, add it to the security advisory form. This may happen, for example, if you want to get the advisory consistent with other communications you plan to send out at publication time.

If an advisory form doesn't have a CVE, we will request a CVE for you when you publish the advisory.

セキュリティアドバイザリを公開し、GitHub が CVE 識別番号を脆弱性に割り当てたら、GitHub は CVE を MITER データベースに公開します。 詳しい情報については、「セキュリティアドバイザリを公開する」を参照してください。

公開されたセキュリティアドバイザリの Dependabot alerts

GitHubは、公開されたそれぞれのセキュリティアドバイザリをレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響されるリポジトリにDependabot alertsを送信することがあります。 セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

Dependabot alertsに関する詳しい情報については、「脆弱性のある依存関係に対するアラートについて」 および「Dependabot security updatesについて」を参照してください。 GitHub Advisory Databaseに関する詳しい情報については、「GitHub Advisory Databaseにおけるセキュリティ脆弱性をブラウズする」を参照してください。

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.