セキュリティアドバイザリを作成する

セキュリティアドバイザリのドラフトを作成して、オープンソースプロジェクトのセキュリティ脆弱性について非公開で議論して修正することができます。

リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。

ノート: セキュリティの研究者は、管理していないリポジトリでは自分の代わりにセキュリティアドバイザリあるいはIssueを作成してもらうよう、メンテナに直接連絡すべきです。

セキュリティアドバイザリを作成する

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。 セキュリティアドバイザリタブ
  4. [New draft security advisory] をクリックします。 [Open draft advisory] ボタン
  5. セキュリティアドバイザリのタイトルを入力します。
  6. このセキュリティアドバイザリが対応するセキュリティ脆弱性に影響される製品とバージョンを編集してください。 セキュリティアドバイザリのメタデータ
  7. セキュリティ脆弱性の重要度を選択してください。 CVSSスコアを割り当てるには、"Assess severity using CVSS(CVSSを使って重要度を評価)"を選択し、適切な値を計算機でクリックしてください。 GitHubは "共通脆弱性スコアリングシステム計算機"に従ってスコアを計算します。 重要度を選択するためのドロップダウンメニュー
  8. このセキュリティアドバイザリが指摘しているセキュリティ脆弱性の種類に対する共通脆弱性タイプ一覧(CWEs)を追加してください。 CWEの完全なリストについては、MITREの「共通脆弱性タイプ一覧」を参照してください。
  9. 既存のCVE識別子を持っているなら、"I have an existing CVE identifier(既存のCVE識別子を持っています) "を選択し、テキストボックスにCVE識別子を入力してください。 そうでない場合は、後でGitHubからCVEをリクエストできます。 詳しい情報については、「GitHub Security Advisories について」を参照してください。
  10. セキュリティ脆弱性についての説明を入力します。 セキュリティアドバイザリの脆弱性の説明
  11. [Create draft security advisory] をクリックします。 [Create security advisory] ボタン

次のステップ

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡