リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。
Note: If you are a security researcher, you should directly contact maintainers to ask them to create security advisories or issue CVEs on your behalf in repositories that you don't administer.
セキュリティアドバイザリを作成する
- GitHubで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Security(セキュリティ)をクリックしてください。
- 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。
- [New draft security advisory] をクリックします。
- セキュリティアドバイザリのタイトルを入力します。
- Edit the product and versions affected by the security vulnerability that this security advisory addresses.
- Select the severity of the security vulnerability. To assign a CVSS score, select "Assess severity using CVSS" and click the appropriate values in the calculator. GitHub calculates the score according to the "Common Vulnerability Scoring System Calculator."
- Add common weakness enumerators (CWEs) for the kinds of security weaknesses that this security advisory addresses. For a full list of CWEs, see the "Common Weakness Enumeration" from MITRE.
- If you have an existing CVE identifier, select "I have an existing CVE identifier" and type the CVE identifier in the text box. Otherwise, you can request a CVE from GitHub later. 詳しい情報については、「GitHub Security Advisories について」を参照してください。
- セキュリティ脆弱性についての説明を入力します。
- [Create draft security advisory] をクリックします。
次のステップ
- セキュリティアドバイザリのドラフトにコメントして、チームと脆弱性について話し合います。
- セキュリティアドバイザリにコラボレータを追加します。 詳しい情報については、「セキュリティアドバイザリにコラボレータを追加する」を参照してください。
- 一時的なプライベートフォークで、脆弱性を修正するため非公式でコラボレートします。 詳細は「一時的なプライベートフォークで、セキュリティ脆弱性を解決するためにコラボレートする」を参照してください。
- セキュリティアドバイザリへの貢献に対してクレジットを受け取る必要がある個人を追加します。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。
- コミュニティにセキュリティの脆弱性を知らせるため、セキュリティアドバイザリを公開します。 詳しい情報については、「セキュリティアドバイザリを公開する」を参照してください。