GitHub Advisory Database でのセキュリティ アドバイザリの編集

GitHub Advisory Database で公開されているアドバイザリの改善案を送信するには、コミュニティ コントリビューションを行います。

この記事の内容

GitHub Advisory Database でのアドバイザリの編集

GitHub Advisory Database のアドバイザリはグローバル セキュリティ アドバイザリです。 グローバル セキュリティ アドバイザリついて詳細については、「グローバル セキュリティ アドバイザリについて」を参照してください。

コミュニティ コントリビューションを行うことで、誰でも GitHub Advisory Database でグローバル セキュリティ アドバイザリの改善を提案できます。 コミュニティ コントリビューションは、グローバル セキュリティ アドバイザリの内容を改善するために、github/advisory-database リポジトリに送信される pull request です。 コミュニティ コントリビューションを行う場合、その他の影響を受けるエコシステム、重大度レベル、影響を受けるユーザーの説明など、詳細を編集または追加できます。 送信したコントリビューションは、GitHub Security Lab キュレーション チームが確認し、承認した場合に GitHub Advisory Database に公開されます。

  1. https://github.com/advisories に移動します。
  2. コントリビュートするセキュリティ アドバイザリを選びます。
  3. ページの右側にある [この脆弱性に対する改善の提案] リンクをクリックします。
  4. [セキュリティ アドバイザリの改善] フォームで、必要な改善を行います。 必要に応じて詳細を編集または追加できます。
  5. [変更の理由] で、この改善を行う理由を説明します。 裏付けとなる資料のリンクを含めていただけると、レビュー担当者の役に立ちます。
  6. アドバイザリの編集が完了したら、 [改善の送信] をクリックします。
  7. コミュニティ コントリビューションを送信すると、GitHub Security Lab キュレーション チームによって、github/advisory-database でその変更を含む pull request がレビュー用に作成されます。 アドバイザリが GitHub リポジトリから作成された場合は、元の発行元にオプションの注釈のタグも付けられます。 pull request を表示し、それが更新またはクローズされたときに通知を受け取ることができます。

github/advisory-database リポジトリのアドバイザリ ファイルで pull request を直接開くこともできます。 詳しくは、コントリビューション ガイドラインに関するページをご覧ください。

GitHub Enterprise Server

からのアドバイザリの編集

GitHub Connect をインスタンスで有効にしている場合は、インスタンス URL に /advisories を追加することでアドバイザリを確認できます。

  1. https://HOSTNAME/advisories に移動します。
  2. コントリビュートするセキュリティ アドバイザリを選びます。
  3. ページの右側にある [GitHub でのこの脆弱性に関する改善を提案する] をクリックします。 リンクからご覧ください。 GitHub で同じセキュリティ アドバイザリが表示された新しいタブが開きます。
  4. 上記の「GitHub アドバイザリ データベースでのアドバイザリの編集」の手順 4 から 6 に従って、アドバイザリを編集します。