セキュリティの脆弱性を非公開で報告する方法について
セキュリティ リサーチャーは、多くの場合、脆弱性についてユーザーに通知しなくてはならないと感じますが、脆弱性は悪用されることがあります。 脆弱性を含むリポジトリのメンテナンス担当者に連絡するための明確な指示がない場合は、セキュリティ リサーチャーが、その脆弱性についてソーシャル メディアに投稿したり、メンテナンス担当者にダイレクト メッセージを送信したり、イシューを作成して公開したりするしかない場合があります。 このような状況では、脆弱性の詳細が広く知れわたってしまう可能性があります。
プライベート脆弱性レポートを使うと、セキュリティ研究者は簡単なフォームを使って脆弱性を直接報告できます。
セキュリティ研究者によって脆弱性が非公開で報告されると、通知を受け取って、承諾するか、さらに質問するか、拒否するかを選ぶことができます。 レポートを承諾した場合は、セキュリティ研究者と非公開で脆弱性の修正を共同で行う準備が整います。
メンテナにとって、プライベート脆弱性レポートを使うことによるベネフィットには次のようなものがあります。* 問い合わせの内容が公開されたり、望ましくない手段で問い合わせを受けたりするリスクが軽減されます。
- 解決時と同じプラットフォームで簡単にレポートを受け取ることができます
- メンテナンス担当者に代わって、セキュリティ リサーチャーが、アドバイザリ レポートを作成するか、少なくとも開始します。
- アドバイザリについての議論と解決に使ったのと同じプラットフォームで、メンテナンス担当者がレポートを受け取ります。
- 脆弱性を多くの人々に知られる可能性が低くなります。
- 脆弱性の詳細について、非公開でセキュリティ リサーチャーと共に議論し、パッチを使って共同作業する機会。
この記事の手順は、リポジトリ レベルでの有効化についてのものです。 組織レベルで機能を有効にする方法については、「Organization のプライベート脆弱性レポートの構成」をご覧ください。
リポジトリに関するプライベート脆弱性レポートの有効化と構成
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/images/help/repository/repo-actions-settings.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[プライベート脆弱性レポート] の右側にある [コードのセキュリティと分析] で、 [有効] または [無効] をクリックして、この機能を有効または無効にします。
![[コードのセキュリティと分析] ページのスクリーンショット。[プライベート脆弱性レポート] の設定が示されています。 [有効] ボタンが濃いオレンジ色で囲まれています。](/assets/cb-15021/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/mw-1440/images/help/repository/repo-actions-settings.webp)
![[コードのセキュリティと分析] ページのスクリーンショット。[プライベート脆弱性レポート] の設定が示されています。 [有効] ボタンが濃いオレンジ色で囲まれています。](/assets/cb-15021/mw-1440/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.webp)
プライベート脆弱性レポートがリポジトリに対して有効になっている場合、セキュリティ研究者には、リポジトリの [アドバイザリ] ページに新しいボタンが表示されます。 セキュリティ リサーチャーがこのボタンをクリックすると、リポジトリのメンテナンス担当者に脆弱性を安全に報告できます。
![プライベート脆弱性レポートが有効になっているリポジトリの [脆弱性の報告] ボタンを示すスクリーンショット。](/assets/cb-73228/mw-1440/images/help/security/report-a-vulnerability-button.webp)
また、セキュリティ リサーチャーは、REST API を使って、セキュリティの脆弱性を非公開で報告できます。 詳細については、「セキュリティ脆弱性を非公開で報告する」をご覧ください。
プライベート脆弱性レポートの通知を構成する
プライベート脆弱性レポートが有効になっているリポジトリで新しい脆弱性がプライベートに報告されると、次の場合、GitHub はリポジトリ メンテナンス担当者とセキュリティ マネージャーに通知します。
- リポジトリでのすべてのアクティビティを監視している。
- リポジトリで通知が有効にされている。
通知は、ユーザーの通知基本設定に依存します。 次の場合に、電子メール通知を受け取ります。
- リポジトリをウォッチしている。
- [すべてのアクティビティ] で通知を有効にしている。
- 通知設定の [サブスクリプション] の [ウォッチ] で、メールで通知を受け取ることを選んでいる。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリのウォッチを開始するには、 [ ウォッチ] を選んでください。
![リポジトリのメイン ページのスクリーンショット。 [ウォッチ] というタイトルが付いたドロップダウン メニューがオレンジ色の枠線で強調表示されています。](/assets/cb-6045/images/help/repository/repository-watch-dropdown.png)
-
ドロップダウン メニューで、 [すべてのアクティビティ] を選びます。
-
個人用アカウントの通知設定に移動します。 https://github.com/settings/notifications で利用できます。
-
通知設定のページの [サブスクリプション] の [ウォッチ] で、 [通知する] ドロップダウンを選びます。
-
通知方法として [Email] を選び、 [保存] を選びます。
![ユーザー アカウントの通知設定のスクリーンショット。 "サブスクリプション" というタイトルの要素ヘッダーと、"ウォッチ中" というタイトルのサブヘッダーが表示されています。 [Email] というチェックボックスがオレンジ色の枠線で強調されています。](/assets/cb-65804/images/help/notifications/repository-watching-notification-options.png)
![リポジトリのメイン ページのスクリーンショット。 [ウォッチ] というタイトルが付いたドロップダウン メニューがオレンジ色の枠線で強調表示されています。](/assets/cb-6045/mw-1440/images/help/repository/repository-watch-dropdown.webp)
![ユーザー アカウントの通知設定のスクリーンショット。 "サブスクリプション" というタイトルの要素ヘッダーと、"ウォッチ中" というタイトルのサブヘッダーが表示されています。 [Email] というチェックボックスがオレンジ色の枠線で強調されています。](/assets/cb-65804/mw-1440/images/help/notifications/repository-watching-notification-options.webp)
通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。