Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
コードセキュリティ

非公開で報告されたセキュリティの脆弱性の管理

この記事の内容

リポジトリの保守担当者は、プライベート脆弱性レポートが有効になっているリポジトリのセキュリティ リサーチャーによって非公開で報告されたセキュリティ脆弱性を管理できます。

この機能を使用できるユーザー

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

パブリック リポジトリの所有者と管理者は、リポジトリでプライベート脆弱性レポートを有効にすることができます。 詳しくは、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。

セキュリティの脆弱性を非公開で報告する方法について

プライベート脆弱性レポートを使用すると、セキュリティ リサーチャーは簡単なフォームを使用して脆弱性を直接報告できます。

セキュリティ研究者によって脆弱性が非公開で報告されると、通知を受け取って、承諾するか、さらに質問するか、拒否するかを選ぶことができます。 レポートを承諾した場合は、セキュリティ リサーチャーと非公開で脆弱性の修正を共同で行う準備が整います。

非公開で報告されるセキュリティの脆弱性の管理

GitHub は、セキュリティ リサーチャーがリポジトリの脆弱性を非公開で報告したときにリポジトリの保守担当者に通知し、保守担当者がリポジトリを監視するか、リポジトリに対して通知を有効にした場合に通知を送信します。 詳しくは、「通知を設定する」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。 1. 左側のサイドバーの [レポート] で、 [ アドバイザリ] をクリックします。

  2. 確認するアドバイザリをクリックします。 非公開で報告されたアドバイザリの状態は Triage です。

    [セキュリティ アドバイザリ] リストのスクリーンショット。

  3. レポートをよく確認してから、次のアクションを選択します。

    • 非公開のパッチで共同作業するには、 [一時的なプライベート フォークを開始する] をクリックして、共同作成者とさらにディスカッションする場所を作成します。 これにより、提案されたアドバイザリの状態は Triage から変更されません。

    • 報告された脆弱性を承諾するには、 [承諾してドラフトとして開く] をクリックして、GitHub のドラフト アドバイザリとして脆弱性レポートを承諾します。 このオプションを選択した場合、次のようになります。

      • これにより、レポートが公開されることはありません。
      • レポートはドラフトのリポジトリ セキュリティ アドバイザリになり、作成するドラフト アドバイザリと同じ方法で作業できます。 セキュリティ アドバイザリついて詳しくは「リポジトリ セキュリティ アドバイザリについて」をご覧ください。

    • 詳細について質問し、報告者と話し合うには、アドバイザリにコメントできます。 コメントは、報告者とアドバイザリのコラボレーターにのみ表示されます。

    • 報告者が説明する問題がセキュリティ リスクではないと判断できる十分な情報がある場合は、 [セキュリティ アドバイザリを閉じる] をクリックします。 可能であれば、アドバイザリを閉じる前に、レポートをセキュリティ リスクと見なさない理由を説明するコメントを追加する必要があります。

      外部から送信された脆弱性レポートを確認する際にリポジトリの保守担当者が使用できるオプションを示すスクリーンショット。