Skip to main content

リポジトリ セキュリティ アドバイザリの作成

セキュリティアドバイザリのドラフトを作成して、オープンソースプロジェクトのセキュリティ脆弱性について非公開で議論して修正することができます。

リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。

注: セキュリティ研究者の場合は、保守担当者に直接連絡して、自分が管理していないリポジトリで自分に代わってセキュリティ アドバイザリを作成または CVE を発行するように依頼する必要があります。 しかし、リポジトリに対してプライベート脆弱性レポートが有効になっている場合は、脆弱性を自分で "プライベートで" 報告できます。 詳しくは、「セキュリティの脆弱性をプライベートで報告する」をご覧ください。

セキュリティ アドバイザリの作成

  1. On GitHub.com, navigate to the main page of the repository. 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブ 1. 左側のサイドバーの [レポート] で、 [アドバイザリ] をクリックします。 [セキュリティ アドバイザリ] タブ
  2. [新しいドラフト セキュリティ アドバイザリ] をクリックし、ドラフト アドバイザリ フォームを開きます。 アスタリスクが付いているフィールドは必須です。 [アドバイザリのドラフトを開く] ボタン
  3. セキュリティアドバイザリのタイトルを入力します。
  4. このセキュリティアドバイザリが対応するセキュリティ脆弱性に影響される製品とバージョンを編集してください。 該当する場合は、影響を受ける複数の製品を同じアドバイザリに追加できます。 セキュリティ アドバイザリ メタデータ 影響を受けるバージョンを含む、フォームに関する情報を指定する方法については、「リポジトリ セキュリティ アドバイザリを記述するためのベスト プラクティス」を参照してください。 1. セキュリティ脆弱性の重要度を選択してください。 CVSSスコアを割り当てるには、"Assess severity using CVSS(CVSSを使って重要度を評価)"を選択し、適切な値を計算機でクリックしてください。 GitHub は "一般的な脆弱性スコアリング システム計算ツール" に従ってスコアを計算します。 重要度を選ぶためのドロップダウン メニュー 1. このセキュリティアドバイザリが指摘しているセキュリティ脆弱性の種類に対する共通脆弱性タイプ一覧(CWEs)を追加してください。 CWE の完全な一覧については、MITRE の「Common Weakness Enumeration」を参照してください。
  5. 既存のCVE識別子を持っているなら、"I have an existing CVE identifier(既存のCVE識別子を持っています) "を選択し、テキストボックスにCVE識別子を入力してください。 そうでない場合は、後でGitHubからCVEをリクエストできます。 詳細については、「GitHub Security Advisories について」を参照してください。 1. セキュリティ脆弱性についての説明を入力します。 セキュリティ アドバイザリの脆弱性の説明
  6. [セキュリティ アドバイザリのドラフトの作成] をクリックします。 [セキュリティ アドバイザリの作成] ボタン

次の手順