Skip to main content

Creating a repository security advisory

You can create a draft security advisory to privately discuss and fix a security vulnerability in your open source project.

Anyone with admin permissions to a repository can create a security advisory.

注: セキュリティ研究者の場合は、保守担当者に直接連絡して、自分が管理していないリポジトリで自分に代わってセキュリティ アドバイザリを作成または CVE を発行するように依頼する必要があります。 しかし、リポジトリに対してプライベート脆弱性レポートが有効になっている場合は、脆弱性を自分で "プライベートで" 報告できます。 詳しくは、「セキュリティの脆弱性をプライベートで報告する」をご覧ください。

Creating a security advisory

  1. On GitHub.com, navigate to the main page of the repository.
  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブ
  3. 左側のサイドバーの [レポート] で、 [アドバイザリ] をクリックします。 [セキュリティ アドバイザリ] タブ
  4. Click New draft security advisory to open the draft advisory form. The fields marked with an asterisk are required. Open draft advisory button
  5. Type a title for your security advisory.
  6. このセキュリティアドバイザリが対応するセキュリティ脆弱性に影響される製品とバージョンを編集してください。 該当する場合は、影響を受ける複数の製品を同じアドバイザリに追加できます。 セキュリティ アドバイザリ メタデータ 影響を受けるバージョンを含む、フォームに関する情報を指定する方法については、「リポジトリ セキュリティ アドバイザリを記述するためのベスト プラクティス」を参照してください。
  7. セキュリティ脆弱性の重要度を選択してください。 CVSSスコアを割り当てるには、"Assess severity using CVSS(CVSSを使って重要度を評価)"を選択し、適切な値を計算機でクリックしてください。 GitHub Enterprise Cloud は "一般的な脆弱性スコアリング システム計算ツール" に従ってスコアを計算します。 重要度を選ぶためのドロップダウン メニュー
  8. このセキュリティアドバイザリが指摘しているセキュリティ脆弱性の種類に対する共通脆弱性タイプ一覧(CWEs)を追加してください。 CWE の完全な一覧については、MITRE の「Common Weakness Enumeration」を参照してください。
  9. 既存のCVE識別子を持っているなら、"I have an existing CVE identifier(既存のCVE識別子を持っています) "を選択し、テキストボックスにCVE識別子を入力してください。 そうでない場合は、後でGitHubからCVEをリクエストできます。 詳細については、「GitHub Security Advisories について」を参照してください。
  10. セキュリティ脆弱性についての説明を入力します。 セキュリティ アドバイザリの脆弱性の説明
  11. Click Create draft security advisory. Create security advisory button

Next steps