リポジトリセキュリティアドバイザリの管理権限を持つ人は、そのセキュリティアドバイザリを編集できます。
Note: This article applies to editing repository-level advisories as a repository owner.
Users who are not repository owners can contribute to global security advisories in the GitHub Advisory Database at github.com/advisories. グローバルアドバイザリを編集しても、そのアドバイザリがリポジトリでどのように表示されるかは変更されず、影響されることもありません。 詳しい情報については「GitHub Advisory Database中のセキュリティアドバイザリの編集」を参照してください。
セキュリティアドバイザリのクレジットについて
セキュリティの脆弱性の発見、報告、修正を支援してくれたユーザにクレジットを付与することができます。 ユーザにクレジットを付与すると、相手はそのクレジットを受け入れるか拒否するかを選択できます。
相手がクレジットを受け入れると、そのユーザのユーザ名がセキュリティアドバイザリの [Credits] セクションに表示されます。 リポジトリへの読み取りアクセスを持つユーザは、アドバイザリとそれに対するクレジットを受け入れたユーザを確認することができます。
セキュリティアドバイザリに自分がクレジットされるべきだと信じるなら、そのアドバイザリを作成した人物に連絡し、そのアドバイザリを編集してあなたへのクレジットを含めてもらうように頼んでください。 あなたをクレジットできるのはアドバイザリの作者だけなので、セキュリティアドバイザリでのクレジットについてはGitHub Supportに問い合わせないでください。
セキュリティアドバイザリを編集する
- GitHub.comで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Security(セキュリティ)をクリックしてください。
- 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。
- [Security Advisories] のリストから、編集するセキュリティアドバイザリをクリックします。
- セキュリティアドバイザリの詳細の右上隅で、 をクリックします。
- このセキュリティアドバイザリが対応するセキュリティ脆弱性に影響される製品とバージョンを編集してください。 If applicable, you can add multiple affected products to the same advisory.
- セキュリティ脆弱性の重要度を選択してください。 CVSSスコアを割り当てるには、"Assess severity using CVSS(CVSSを使って重要度を評価)"を選択し、適切な値を計算機でクリックしてください。 GitHub Enterprise Cloudは "共通脆弱性スコアリングシステム計算機"に従ってスコアを計算します。
- このセキュリティアドバイザリが指摘しているセキュリティ脆弱性の種類に対する共通脆弱性タイプ一覧(CWEs)を追加してください。 CWEの完全なリストについては、MITREの「共通脆弱性タイプ一覧」を参照してください。
- 既存のCVE識別子を持っているなら、"I have an existing CVE identifier(既存のCVE識別子を持っています) "を選択し、テキストボックスにCVE識別子を入力してください。 そうでない場合は、後でGitHubからCVEをリクエストできます。 詳しい情報については、「GitHub Security Advisories について」を参照してください。
- セキュリティ脆弱性についての説明を入力します。
- 必要に応じて、セキュリティアドバイザリの [Credits] を編集します。
- [Update security advisory] をクリックします。
- [Credits] セクションに記載されているユーザは、クレジットを受け入れるように勧めるメールまたは Web 通知を受信します。 受け入れた場合、セキュリティアドバイザリが公開されると、そのユーザ名が公開されます。