リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。
ノート: セキュリティの研究者は、管理していないリポジトリでは自分の代わりにセキュリティアドバイザリあるいはIssueを作成してもらうよう、メンテナに直接連絡すべきです。
セキュリティアドバイザリを作成する
- GitHub.comで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Security(セキュリティ)をクリックしてください。
- 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。
- [New draft security advisory] をクリックします。
- セキュリティアドバイザリのタイトルを入力します。
- このセキュリティアドバイザリが対応するセキュリティ脆弱性に影響される製品とバージョンを編集してください。 If applicable, you can add multiple affected products to the same advisory.
- セキュリティ脆弱性の重要度を選択してください。 CVSSスコアを割り当てるには、"Assess severity using CVSS(CVSSを使って重要度を評価)"を選択し、適切な値を計算機でクリックしてください。 GitHub Enterprise Cloudは "共通脆弱性スコアリングシステム計算機"に従ってスコアを計算します。
- このセキュリティアドバイザリが指摘しているセキュリティ脆弱性の種類に対する共通脆弱性タイプ一覧(CWEs)を追加してください。 CWEの完全なリストについては、MITREの「共通脆弱性タイプ一覧」を参照してください。
- 既存のCVE識別子を持っているなら、"I have an existing CVE identifier(既存のCVE識別子を持っています) "を選択し、テキストボックスにCVE識別子を入力してください。 そうでない場合は、後でGitHubからCVEをリクエストできます。 詳しい情報については、「GitHub Security Advisories について」を参照してください。
- セキュリティ脆弱性についての説明を入力します。
- [Create draft security advisory] をクリックします。
次のステップ
- セキュリティアドバイザリのドラフトにコメントして、チームと脆弱性について話し合います。
- セキュリティアドバイザリにコラボレータを追加します。 詳細は「リポジトリセキュリティアドバイザリにコラボレータを追加する」を参照してください。
- 一時的なプライベートフォークで、脆弱性を修正するため非公式でコラボレートします。 詳細は「一時的なプライベートフォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする」を参照してください。
- セキュリティアドバイザリへの貢献に対してクレジットを受け取る必要がある個人を追加します。 詳しい情報については、「リポジトリのセキュリティアドバイザリの編集」を参照してください。
- コミュニティにセキュリティの脆弱性を知らせるため、セキュリティアドバイザリを公開します。 詳しい情報については、「リポジトリのセキュリティアドバイザリの公開」を参照してください。