セキュリティポリシーについて
プロジェクトのセキュリティの脆弱性を報告する手順をユーザーに示すには、SECURITY.md
ファイルをリポジトリのルート、docs
、または .github
フォルダーに追加します。 このファイルをリポジトリのこの部分に追加すると、ユーザーがレビューできる説明を含む行が自動的に作成されます。 誰かがリポジトリに issue を作成すると、プロジェクトのセキュリティ ポリシーへのリンクが表示されます。
所属する Organization または個人アカウントにデフォルトのセキュリティ ポリシーを作成できます。 詳しくは、「既定のコミュニティ正常性ファイルの作成」をご覧ください。
Tip
セキュリティ ポリシーを見つけやすくするには、README
ファイルなどのレポジトリ内の別の場所から、SECURITY.md
ファイルにリンクさせます。 詳しくは、「READMEについて」をご覧ください。
プロジェクトのセキュリティの脆弱性が報告された後は、GitHub Security Advisories を使用して、脆弱性に関する情報を開示、修正、公開できます。 GitHub での脆弱性の報告と開示のプロセスに関する詳細については、「セキュリティ脆弱性の調整された開示について」を参照してください。 リポジトリ セキュリティ アドバイザリついて詳しくは、「リポジトリ セキュリティ アドバイザリについて」を参照してください。
GitHub Security Lab に参加して、セキュリティ関連のトピックを見たり、セキュリティのツールやプロジェクトに貢献したりすることもできます。
実際の SECURITY.md
ファイルの例については、「https://github.com/electron/electron/blob/main/SECURITY.md」を参照してください。
リポジトリへのセキュリティ ポリシーの追加
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
左側のサイドバーの [レポート] で、 [ ポリシー] をクリックします。
-
[Start setup] (セットアップの開始) をクリックします。
-
新しい
SECURITY.md
ファイルで、サポートされているプロジェクトのバージョンに関する情報と、脆弱性を報告する方法を追加します。 -
[変更のコミット...] をクリックします。
-
[コミット メッセージ] フィールドに、ファイルに対する変更内容を説明する、短くわかりやすいコミット メッセージを入力します。 コミットメッセージでは、複数の作者にコミットを関連づけることができます。 詳しくは、「複数の作者を持つコミットを作成する」を参照してください。
-
GitHub のアカウントに複数のメール アドレスが関連付けられている場合は、[メール アドレス] ドロップダウン メニューをクリックし、Git 作成者のメール アドレスとして使用するメール アドレスを選択します。 このドロップダウンメニューには、検証済みのメールアドレスだけが表示されます。 メール アドレスのプライバシーを有効にした場合は、no-reply がコミット作成者の既定のメール アドレスになります。 no-reply メール アドレスの正確な形式については、「コミットメールアドレスを設定する」を参照してください。
-
コミットメッセージフィールドの下で、コミットの追加先を現在のブランチか新しいブランチから選択してください。 現在のブランチがデフォルトブランチなら、コミット用に新しいブランチを作成してからPull Requestを作成すべきです。 詳しくは、「pull request の作成」を参照してください。
-
[変更のコミット] または [変更の提案] をクリックします。