Skip to main content

一時的なプライベートフォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする

リポジトリにおけるセキュリティ脆弱性の修正について非公開でコラボレートするため、一時的なプライベートフォークを作成できます。

Note: This article applies to editing repository-level advisories as a repository owner.

Users who are not repository owners can contribute to global security advisories in the GitHub Advisory Database at github.com/advisories. グローバルアドバイザリを編集しても、そのアドバイザリがリポジトリでどのように表示されるかは変更されず、影響されることもありません。 詳しい情報については「GitHub Advisory Database中のセキュリティアドバイザリの編集」を参照してください。

必要な環境

一時的なプライベートフォークでコラボレートする前に、ドラフトのセキュリティアドバイザリを作成する必要があります。 詳しい情報については、「リポジトリのセキュリティアドバイザリの作成」を参照してください。

一時的なプライベートフォークを作成する

セキュリティアドバイザリに対する管理者権限があるユーザなら誰でも、一時的なプライベートフォークを作成できます。

脆弱性についての情報を保護するため、CI を含むインテグレーションは、一時的なプライベートフォークにアクセスできません。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。 セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、一時的なプライベートフォークを作成するセキュリティアドバイザリをクリックします。 リスト内のセキュリティアドバイザリ
  5. [New temporary private fork] をクリックします。 [New temporary private fork] ボタン

一時的なプライベートフォークにコラボレータを追加する

セキュリティアドバイザリの管理者権限を持つユーザは、セキュリティアドバイザリにコラボレータを追加でき、セキュリティアドバイザリのコラボレータは一時的なプライベートフォークにアクセスできます。 詳細は「リポジトリセキュリティアドバイザリにコラボレータを追加する」を参照してください。

一時的なプライベートフォークに変更を追加する

セキュリティアドバイザリに対する管理者権限があるユーザなら誰でも、一時的なプライベートフォークに変更を追加できます。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。 セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、変更を追加するセキュリティアドバイザリをクリックします。 リスト内のセキュリティアドバイザリ
  5. GitHub Enterprise Cloud またはローカルに変更を追加します:
    • GitHub Enterprise Cloud に変更を追加するには、[Add changes to this advisory] で、[the temporary private fork] をクリックします。 そして、新しいブランチを作成し、ファイルを編集します。 詳しい情報については「リポジトリ内でブランチを作成および削除する」および「ファイルを編集する」を参照してください。
    • ローカルで変更を追加するには、「クローンを作成して新しいブランチを作成する」および「変更を加えてからプッシュする」の手順に従ってください。 このアドバイザリボックスに変更を追加

一時的なプライベートフォークからプルリクエストを作成する

セキュリティアドバイザリに対する書き込み権限があるユーザなら誰でも、一時的なプライベートフォークからプルリクエストを作成できます。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。 セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、セキュリティアドバイザリを作成するプルリクエストをクリックします。 リスト内のセキュリティアドバイザリ
  5. ブランチ名の右側にある、[Compare & pull request] をクリックします。 [Compare & pull request] ボタン
  6. プルリクエストのタイトルと説明を入力します。 プルリクエストのタイトルと説明フィールド
  7. レビューの準備ができたプルリクエストを作成するには、Create Pull Request(プルリクエストの作成)をクリックしてください。 ドラフトのプルリクエストを作成する2は、ドロップダウンメニューを使ってCreate Draft Pull Request(ドラフトのプルリクエストを作成)を選択し、Draft Pull Request(ドラフトのプルリクエスト)をクリックしてください。 ドラフトのプルリクエストに関する詳しい情報については「プルリクエストについて」を参照してください。プルリクエストの作成ボタン

一時的なプライベートフォーク内では、個々のプルリクエストをマージすることはできません。 その代わりに、対応するセキュリティアドバイザリ中ですべてのオープンなプルリクエストを一度にマージしてください。 詳しい情報については、「Merging changes in a security advisory」を参照してください。

変更をセキュリティアドバイザリにマージする

セキュリティアドバイザリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリに変更をマージできます。

一時的なプライベートフォーク内では、個々のプルリクエストをマージすることはできません。 その代わりに、対応するセキュリティアドバイザリ中ですべてのオープンなプルリクエストを一度にマージしてください。

セキュリティアドバイザリの変更をマージするには、一時的なプライベートフォークにあるすべてのオープンされたプルリクエストがマージできる必要があります。 マージコンフリクトは許容されません。また、ブランチ保護の要件を満たす必要があります。 脆弱性についての情報を保護するため、一時的なプライベートフォークにあるプルリクエストに対しては、ステータスチェックは実行されません。 詳しい情報については保護されたブランチについてを参照してください。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。 セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、変更をマージするセキュリティアドバイザリをクリックします。 リスト内のセキュリティアドバイザリ
  5. 一時的なプライベートフォークにあるすべてのオープンされたプルリクエストをマージするには、[Merge pull requests] をクリックします。 [Merge pull requests] ボタン

セキュリティアドバイザリの変更をマージした後は、プロジェクトの以前のバージョンにある脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。 詳しい情報については、「リポジトリのセキュリティアドバイザリの公開」を参照してください。

参考リンク