Skip to main content

非公開で報告されたセキュリティの脆弱性の管理

リポジトリ メンテナは、プライベート脆弱性レポートが有効になっているリポジトリのセキュリティ リサーチャーによって非公開で報告されたセキュリティ脆弱性を管理できます。

この機能を使用できるユーザーについて

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

パブリック リポジトリの所有者と管理者は、リポジトリでプライベート脆弱性レポートを有効にすることができます。 詳しくは、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。

セキュリティの脆弱性を非公開で報告する方法について

プライベート脆弱性レポートを使用すると、セキュリティ リサーチャーは簡単なフォームを使用して脆弱性を直接報告できます。

セキュリティ研究者によって脆弱性が非公開で報告されると、通知を受け取って、承諾するか、さらに質問するか、拒否するかを選ぶことができます。 レポートを承諾した場合は、セキュリティ リサーチャーと非公開で脆弱性の修正を共同で行う準備が整います。

非公開で報告されるセキュリティの脆弱性の管理

プライベート脆弱性レポートが有効になっているリポジトリで新しい脆弱性がプライベートに報告されると、次の場合、GitHub はリポジトリ メンテナンス担当者とセキュリティ マネージャーに通知します。

  • リポジトリでのすべてのアクティビティを監視している。
  • リポジトリで通知が有効にされている。

通知の基本設定の構成について詳しくは、「リポジトリのプライベート脆弱性レポートの構成」をご覧ください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [レポート] で、 [ アドバイザリ] をクリックします。

  4. 確認するアドバイザリをクリックします。 非公開で報告されたアドバイザリの状態は Triage です。

    [セキュリティ アドバイザリ] リストのスクリーンショット。

  5. レポートをよく確認してから、次のアクションを選択します。

    • 非公開のパッチで共同作業するには、 [一時的なプライベート フォークを開始する] をクリックして、共同作成者とさらにディスカッションする場所を作成します。 これにより、提案されたアドバイザリの状態は Triage から変更されません。

    • 報告された脆弱性を承諾するには、 [承諾してドラフトとして開く] をクリックして、GitHub のドラフト アドバイザリとして脆弱性レポートを承諾します。 このオプションを選択した場合、次のようになります。

      • これにより、レポートが公開されることはありません。
      • レポートはドラフトのリポジトリ セキュリティ アドバイザリになり、作成するドラフト アドバイザリと同じ方法で作業できます。 セキュリティ アドバイザリついて詳しくは「リポジトリ セキュリティ アドバイザリについて」をご覧ください。
    • 詳細について質問し、報告者と話し合うには、アドバイザリにコメントできます。 コメントは、報告者とアドバイザリのコラボレーターにのみ表示されます。

    • 報告者が説明する問題がセキュリティ リスクではないと判断できる十分な情報がある場合は、 [セキュリティ アドバイザリを閉じる] をクリックします。 可能であれば、アドバイザリを閉じる前に、レポートをセキュリティ リスクと見なさない理由を説明するコメントを追加する必要があります。

      外部から送信された脆弱性レポートを確認する際にリポジトリの保守担当者が使用できるオプションを示すスクリーンショット。