脆弱性に関する情報を報告し、説明する際のガイダンス

セキュリティアドバイザリの書き方や、報告されたセキュリティの脆弱性を非公開で管理する際のベストプラクティス。

セキュリティ脆弱性の調整された開示について

脆弱性の開示は、セキュリティの報告者とリポジトリメンテナの調整された取り組みです。

リポジトリセキュリティアドバイザリを作成するためのベストプラクティス

セキュリティアドバイザリを作成または編集すると、標準形式を使用してエコシステム、パッケージ名、影響を受けるバージョンを指定する際に、あなたが提供する情報を他のユーザーが容易に理解できるようにすることができます。

セキュリティの脆弱性を非公開で報告する

一部のパブリックリポジトリでは、セキュリティアドバイザリを構成して、誰もがセキュリティの脆弱性を直接、または非公開で保守担当者に報告できるようにします。

非公開で報告されたセキュリティの脆弱性の管理

リポジトリメンテナは、プライベート脆弱性レポートが有効になっているリポジトリのセキュリティリサーチャーによって非公開で報告されたセキュリティ脆弱性を管理できます。