セキュリティアドバイザリを公開する

プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。

セキュリティアドバイザリの管理者権限を持つユーザは、セキュリティアドバイザリを公開できます。

必要な環境

セキュリティアドバイザリを公開したり、CVE の ID 番号をリクエストしたりする前に、セキュリティアドバイザリのドラフトを作成し、セキュリティの脆弱性の影響を受けるプロジェクトのバージョンに関する情報を提供する必要があります。 詳しい情報については、「セキュリティアドバイザリを作成する」を参照してください。

セキュリティアドバイザリを作成したが、セキュリティの脆弱性が影響を与えるプロジェクトのバージョンに関する詳細をまだ入力していない場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。

セキュリティアドバイザリの公開について

セキュリティアドバイザリを公開すると、セキュリティアドバイザリが指定するセキュリティの脆弱性についてコミュニティに通知します。 セキュリティアドバイザリを公開すると、コミュニティがパッケージの依存関係を更新し、セキュリティの脆弱性の影響を調査しやすくなります。

GitHub Security Advisoriesを使い、すでに別の場所で公開したセキュリティ脆弱性の詳細をコピーして新しいセキュリティアドバイザリに貼り付けることにより、その詳細を再度公開できます。

セキュリティアドバイザリを公開する前に、一時的なプライベートフォークで、脆弱性を修正するため非公式でコラボレートできます。 詳細は「一時的なプライベートフォークで、セキュリティ脆弱性を解決するためにコラボレートする」を参照してください。

警告: 可能な限り、アドバイザリを公開する前に、セキュリティアドバイザリに修正バージョンを追加する必要があります。 そうしない場合、アドバイザリは修正バージョンなしで公開され、Dependabot は、更新する安全なバージョンを提供することなく、問題についてユーザに警告します。

このような状況では、次のステップを行うことをお勧めします。

  • 修正バージョンが利用可能な場合、可能であれば、修正の準備ができたときに問題を開示するのを待ちます。
  • 修正バージョンが開発中でまだ利用できない場合は、アドバイザリにその旨を記載し、公開後にアドバイザリを編集します。
  • 問題を修正する予定がない場合は、ユーザが修正時期を問い合わせることがないよう、アドバイザリに明示します。 この場合、ユーザが問題を軽減するときに使えるステップを含めると便利です。

パブリックリポジトリからドラフトアドバイザリを公開すると、すべてのユーザが次のことを確認できます。

  • アドバイザリデータの現在のバージョン。
  • クレジットされたユーザが受け入れたアドバイザリクレジット。

注釈: 一般ユーザは、アドバイザリの編集履歴にアクセスすることはできず、公開されたバージョンのみを見ることができます。

セキュリティアドバイザリの URL は、セキュリティアドバイザリの公開後も公開前と同じままです。 リポジトリへの読み取りアクセス権を持つユーザは、セキュリティアドバイザリを閲覧することができます。 セキュリティアドバイザリのコラボレータは、管理者権限を持つユーザがコラボレータをセキュリティアドバイザリから削除しない限り、セキュリティアドバイザリでコメントストリーム全体を含む過去の会話を引き続き表示できます。

公開したセキュリティアドバイザリの情報をアップデートまたは修正する必要がある場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。

CVE 識別番号をリクエストする

セキュリティアドバイザリの管理者権限を持っているすべてのユーザは、セキュリティアドバイザリの CVE 識別番号をリクエストできます。

まだプロジェクト中のセキュリティ脆弱性に対するCVE識別番号を持っていない場合は、GitHubにCVE識別番号をリクエストできます。 GitHubは通常、リクエストを72時間以内にレビューします。 CVE識別番号をリクエストしても、セキュリティアドバイザリはパブリックにはなりません。 セキュリティアドバイザリがCVEの対象となるなら、GitHubはそのアドバイザリのためにCVE識別番号を予約します。 そして、あなたがセキュリティアドバイザリを公開した後に、CVEの詳細を私たちがCVEの詳細を公開します。

使いたいCVEをすでに持っている場合、たとえばGitHubではなくCNAを使う場合には、それをセキュリティアドバイザリのフォームに入力してください。 これはたとえば、公開時に送信することを計画している他の通信先と、アドバイザリが一貫しているようにしたい場合に生じるかもしれません。

アドバイザリのフォームにCVEがない場合は、アドバイザリをあなたが公開する際に私たちがあなたに代わってCVEをリクエストします。 詳しい情報については、「GitHub Security Advisories について」を参照してください。

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。 セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、CVE 識別番号をリクエストするセキュリティアドバイザリをクリックします。 リスト内のセキュリティアドバイザリ
  5. [Edit] ドロップダウンメニューを使用して、[Request CVE] をクリックします。 ドロップダウンの [Request CVE]
  6. [Request CVE] をクリックします。 [Request CVE] ボタン

セキュリティアドバイザリを公開する

セキュリティアドバイザリを公開すると、セキュリティアドバイザリの一時的なプライベートフォークが削除されます。

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。 セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、公開するセキュリティアドバイザリをクリックします。 リスト内のセキュリティアドバイザリ
  5. ページの下部で、[Publish advisory] をクリックします。 [Publish advisory] ボタン

公開されたセキュリティアドバイザリの Dependabotアラート

GitHubは、公開されたそれぞれのセキュリティアドバイザリをレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響されるリポジトリにDependabotアラートを送信することがあります。 セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

Dependabotアラートに関する詳しい情報については、「脆弱性のある依存関係に対するアラートについて」 および「Dependabotセキュリティアップデートについて」を参照してください。 GitHub Advisory Databaseに関する詳しい情報については、「GitHub Advisory Databaseにおけるセキュリティ脆弱性をブラウズする」を参照してください。

参考リンク

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡