注: この記事は、リポジトリの所有者としてのリポジトリ レベルのアドバイザリの編集に適用されます。
リポジトリの所有者ではないユーザーは、github.com/advisories にある GitHub Advisory Database のグローバル セキュリティ アドバイザリに貢献できます。 グローバル アドバイザリを編集しても、リポジトリでのアドバイザリの表示方法が変更されたり、影響を受けたりすることはありません。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。
前提条件
一時的なプライベートフォークでコラボレートする前に、ドラフトのセキュリティアドバイザリを作成する必要があります。 詳しくは、「リポジトリ セキュリティ アドバイザリの作成」を参照してください。
一時的なプライベートフォークを作成する
セキュリティアドバイザリに対する管理者権限があるユーザなら誰でも、一時的なプライベートフォークを作成できます。
脆弱性についての情報を保護するため、CI を含むインテグレーションは、一時的なプライベートフォークにアクセスできません。
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17804/images/help/repository/security-tab.png)
-
[セキュリティ アドバイザリ] の一覧で、一時的なプライベート フォークを作成するセキュリティ アドバイザリの名前をクリックします。
-
アドバイザリ フォームの一番下までスクロールし、 [一時的なプライベート フォークを開始する] をクリックします。
![フォームの [プライベートのパッチで共同作業する] 領域のスクリーンショット。 [一時的なプライベート フォークを開始する] というラベルのボタンが、濃いオレンジ色で囲まれています。](/assets/cb-22207/images/help/security/new-temporary-private-fork-button.png)
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17804/mw-1440/images/help/repository/security-tab.webp)
![フォームの [プライベートのパッチで共同作業する] 領域のスクリーンショット。 [一時的なプライベート フォークを開始する] というラベルのボタンが、濃いオレンジ色で囲まれています。](/assets/cb-22207/mw-1440/images/help/security/new-temporary-private-fork-button.webp)
リポジトリのプライベート フォークが作成され、アドバイザリ ページに表示されます。
一時的なプライベートフォークにコラボレータを追加する
セキュリティアドバイザリの管理者権限を持つユーザは、セキュリティアドバイザリにコラボレータを追加でき、セキュリティアドバイザリのコラボレータは一時的なプライベートフォークにアクセスできます。 詳しくは、「リポジトリ セキュリティ アドバイザリへのコラボレータの追加」を参照してください。
一時的なプライベートフォークに変更を追加する
セキュリティ アドバイザリに対する書き込みアクセス許可があるユーザーなら誰でも、一時的なプライベート フォークに変更をコミットすることで、パッチに関する共同作業を行うことができます。
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
[セキュリティアドバイザリ] の一覧で、作業するセキュリティ アドバイザリの名前をクリックします。
-
GitHub またはローカル環境で、変更を行うことができます。
- GitHub で変更を行う場合は、[パッチで共同作業する] の下にある [一時的なプライベート フォーク] をクリックします。 そして、新しいブランチを作成し、ファイルを編集します。 詳細については、「リポジトリ内でブランチを作成および削除する」および「ファイルを編集する」を参照してください。
- ローカルで変更を追加するには、「クローンを作成して新しいブランチを作成する」および「変更を加えてからプッシュする」の手順に従ってください。
![ドラフト セキュリティ アドバイザリの [パッチで共同作業する] 領域のスクリーンショット。 [一時的なプライベート フォーク] リンクが濃いオレンジ色で囲まれています。](/assets/cb-60655/images/help/security/add-changes-to-this-advisory-box.png)
![ドラフト セキュリティ アドバイザリの [パッチで共同作業する] 領域のスクリーンショット。 [一時的なプライベート フォーク] リンクが濃いオレンジ色で囲まれています。](/assets/cb-60655/mw-1440/images/help/security/add-changes-to-this-advisory-box.webp)
一時的なプライベートフォークからプルリクエストを作成する
セキュリティアドバイザリに対する書き込み権限があるユーザなら誰でも、一時的なプライベートフォークからプルリクエストを作成できます。
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
[セキュリティ アドバイザリ] の一覧で、pull request を作成するセキュリティ アドバイザリの名前をクリックします。
-
アドバイザリ フォームの一番下までスクロールします。 次に、[パッチで共同作業する] の下にある [比較と pull request] をクリックして、関連付けられているブランチの pull request を作成します。
![ドラフト セキュリティ アドバイザリの [パッチで共同作業する] 領域のスクリーンショット。 [比較と pull request] ボタンが濃いオレンジ色で囲まれています。](/assets/cb-36394/images/help/security/security-advisory-compare-and-pr.png)
-
レビューの準備が完了している pull request を作成するには、 [pull request の作成] をクリックします。 ドラフトの pull request を作成するには、ドロップダウンを使用して、 [ドラフトの pull request の作成] を選択し、 [ドラフトの pull request] をクリックします。 ドラフトの pull request の詳細については、「pull requests について」を参照してください。
![ドラフト セキュリティ アドバイザリの [パッチで共同作業する] 領域のスクリーンショット。 [比較と pull request] ボタンが濃いオレンジ色で囲まれています。](/assets/cb-36394/mw-1440/images/help/security/security-advisory-compare-and-pr.webp)
一時的なプライベートフォーク内では、個々のプルリクエストをマージすることはできません。 その代わりに、対応するセキュリティアドバイザリ中ですべてのオープンなプルリクエストを一度にマージしてください。 詳細については、「変更をセキュリティ アドバイザリにマージする」を参照してください。
変更をセキュリティアドバイザリにマージする
セキュリティアドバイザリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリに変更をマージできます。
一時的なプライベートフォーク内では、個々のプルリクエストをマージすることはできません。 その代わりに、対応するセキュリティアドバイザリ中ですべてのオープンなプルリクエストを一度にマージしてください。
セキュリティアドバイザリの変更をマージするには、一時的なプライベートフォークにあるすべてのオープンされたプルリクエストがマージできる必要があります。 脆弱性についての情報を保護するため、一時的なプライベートフォークにあるプルリクエストに対しては、ステータスチェックは実行されません。 詳しくは、「保護されたブランチについて」を参照してください。
さらに、マージの競合は発生せず、変更をマージしようとしているブランチに対してユーザーが設定している可能性のある保護規則は GitHub によって適用されません。
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
[セキュリティアドバイザリ] の一覧で、マージする変更が含まれるセキュリティ アドバイザリの名前をクリックします。
-
アドバイザリ フォームの一番下までスクロールします。 次に、[このアドバイザリはマージする準備ができている] の下にある [pull request のマージ] をクリックして、一時的なプライベート フォーク内のすべての開いている pull request をマージします。
![ドラフト セキュリティ アドバイザリの [パッチで共同作業する] 領域のスクリーンショット。 [pull request のマージ] ボタンが濃いオレンジ色で囲まれています。](/assets/cb-24919/images/help/security/merge-pull-requests-button.png)
注: 一時的なプライベート フォークの
mainブランチにマージできる pull request は 1 つだけです。mainブランチを対象とする pull request が複数ある場合、マージはブロックされます。
![ドラフト セキュリティ アドバイザリの [パッチで共同作業する] 領域のスクリーンショット。 [pull request のマージ] ボタンが濃いオレンジ色で囲まれています。](/assets/cb-24919/mw-1440/images/help/security/merge-pull-requests-button.webp)
セキュリティアドバイザリの変更をマージした後は、プロジェクトの以前のバージョンにある脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。 詳しくは、「リポジトリ セキュリティ アドバイザリの公開」を参照してください。