セキュリティの脆弱性を非公開で報告する方法について
セキュリティ リサーチャーは、多くの場合、脆弱性についてユーザーに通知しなくてはならないと感じますが、脆弱性は悪用されることがあります。 脆弱性を含むリポジトリのメンテナンス担当者に連絡するための明確な指示がない場合は、セキュリティ リサーチャーが、その脆弱性についてソーシャル メディアに投稿したり、メンテナンス担当者にダイレクト メッセージを送信したり、イシューを作成して公開したりするしかない場合があります。 このような状況では、脆弱性の詳細が広く知れわたってしまう可能性があります。
プライベート脆弱性レポートを使うと、セキュリティ研究者は簡単なフォームを使って脆弱性を直接報告できます。
セキュリティ研究者によって脆弱性が非公開で報告されると、通知を受け取って、承諾するか、さらに質問するか、拒否するかを選ぶことができます。 レポートを承諾した場合は、セキュリティ研究者と非公開で脆弱性の修正を共同で行う準備が整います。
Organization の所有者やセキュリティ マネージャーにとって、プライベート脆弱性レポートを使うことによるベネフィットには次のようなものがあります。- 問い合わせの内容が公開されたり、望ましくない手段で問い合わせを受けたりするリスクが軽減されます。
- 解決時と同じプラットフォームで簡単にレポートを受け取ることができます
- メンテナンス担当者に代わって、セキュリティ リサーチャーが、アドバイザリ レポートを作成するか、少なくとも開始します。
- アドバイザリについての議論と解決に使ったのと同じプラットフォームで、メンテナンス担当者がレポートを受け取ります。
- 脆弱性を多くの人々に知られる可能性が低くなります。
- 脆弱性の詳細について、非公開でセキュリティ リサーチャーと共に議論し、パッチを使って共同作業する機会。
次の手順は、Organization レベルでの有効化についてのものです。 リポジトリの機能を有効にする方法について詳しくは、「リポジトリのプライベート脆弱性レポートの構成」をご覧ください。
Organization 内にあるすべての既存のパブリック リポジトリに対するプライベート脆弱性レポートの有効化または無効化
-
GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-24939/images/help/profile/your-organizations.png)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/cb-5718/images/help/organizations/settings-button.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[プライベート脆弱性レポート] の右側にある [コードのセキュリティと分析] で、 [すべて有効] または [すべて無効] をクリックして、Organization 内にあるすべてのパブリック リポジトリに対してこの機能を有効または無効にします。
![[コードのセキュリティと分析] ページのスクリーンショット。プライベート脆弱性レポートの [すべての無効] ボタンと [すべて有効] ボタンが強調表示されています](/assets/cb-110419/images/help/security/private-vulnerability-reporting-enable-or-disable-org.png)
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-24939/mw-1440/images/help/profile/your-organizations.webp)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/cb-5718/mw-1440/images/help/organizations/settings-button.webp)
![[コードのセキュリティと分析] ページのスクリーンショット。プライベート脆弱性レポートの [すべての無効] ボタンと [すべて有効] ボタンが強調表示されています](/assets/cb-110419/mw-1440/images/help/security/private-vulnerability-reporting-enable-or-disable-org.webp)
Organization に追加された新しいパブリック リポジトリのプライベート脆弱性レポートの有効化または無効化
-
GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
機能の右側にある [コードのセキュリティと分析] で、 [新しいプライベート リポジトリに対して自動的に有効にする] をクリックします。
![[コードのセキュリティと分析] ページのスクリーンショット。プライベート脆弱性レポートの [新しいプライベート リポジトリに対して自動的に有効にする] チェックボックスが強調表示されています](/assets/cb-122205/images/help/security/private-vulnerability-reporting-enable-or-disable-org-new-repos.png)
-
[プライベート脆弱性レポート] の右側で、 [すべて有効] または [すべて無効] をクリックして、Organization に追加されるすべての新しいパブリック リポジトリに対してこの機能を有効または無効にします。
![[コードのセキュリティと分析] ページのスクリーンショット。プライベート脆弱性レポートの [新しいプライベート リポジトリに対して自動的に有効にする] チェックボックスが強調表示されています](/assets/cb-122205/mw-1440/images/help/security/private-vulnerability-reporting-enable-or-disable-org-new-repos.webp)
リポジトリに対してプライベート脆弱性レポートを有効にした場合のセキュリティ研究者への表示
プライベート脆弱性レポートがリポジトリに対して有効になっている場合、セキュリティ研究者には、リポジトリの [アドバイザリ] ページに新しいボタンが表示されます。 セキュリティ リサーチャーがこのボタンをクリックすると、リポジトリのメンテナンス担当者に脆弱性を安全に報告できます。
![プライベート脆弱性レポートが有効になっているリポジトリの [脆弱性の報告] ボタンを示すスクリーンショット](/assets/cb-73855/mw-1440/images/help/security/report-a-vulnerability-button.webp)
また、セキュリティ リサーチャーは、REST API を使って、セキュリティの脆弱性を非公開で報告できます。 詳細については、REST API ドキュメントの「セキュリティ脆弱性を非公開で報告する」を参照してください。