ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

セキュリティアドバイザリを公開する

プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。

ここには以下の内容があります:

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.

セキュリティアドバイザリの管理者権限を持つユーザは、セキュリティアドバイザリを公開できます。

必要な環境

Before you can publish a security advisory or request a CVE identification number, you must create a draft security advisory and provide information about the versions of your project affected by the security vulnerability. 詳しい情報については、「セキュリティアドバイザリを作成する」を参照してください。

セキュリティアドバイザリを作成したが、セキュリティの脆弱性が影響を与えるプロジェクトのバージョンに関する詳細をまだ入力していない場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。

セキュリティアドバイザリの公開について

When you publish a security advisory, you notify your community about the security vulnerability that the security advisory addresses. Publishing a security advisory makes it easier for your community to update package dependencies and research the impact of the security vulnerability.

GitHub Security Advisoriesを使い、すでに別の場所で公開したセキュリティ脆弱性の詳細をコピーして新しいセキュリティアドバイザリに貼り付けることにより、その詳細を再度公開できます。

Before you publish a security advisory, you can privately collaborate to fix the vulnerability in a temporary private fork. 詳細は「一時的なプライベートフォークで、セキュリティ脆弱性を解決するためにコラボレートする」を参照してください。

When you publish a draft advisory from a public repository, everyone is able to see:

  • The current version of the advisory data.
  • Any advisory credits that the credited users have accepted.

Note: The general public will never have access to the edit history of the advisory, and will only see the published version.

セキュリティアドバイザリの URL は、セキュリティアドバイザリの公開後も公開前と同じままです。 リポジトリへの読み取りアクセス権を持つユーザは、セキュリティアドバイザリを閲覧することができます。 Collaborators on the security advisory can continue to view past conversations, including the full comment stream, in the security advisory unless someone with admin permissions removes the collaborator from the security advisory.

公開したセキュリティアドバイザリの情報をアップデートまたは修正する必要がある場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。

CVE 識別番号をリクエストする

Anyone with admin permissions to a security advisory can request a CVE identification number for the security advisory.

まだプロジェクト中のセキュリティ脆弱性に対するCVE識別番号を持っていない場合は、GitHubにCVE識別番号をリクエストできます。 GitHub usually reviews the request within 72 hours. Requesting a CVE identification number doesn't make your security advisory public. If your security advisory is eligible for a CVE, GitHub will reserve a CVE identification number for your advisory. We'll then publish the CVE details after you publish the security advisory. For more information, see "About GitHub Security Advisories."

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。
    セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、CVE 識別番号をリクエストするセキュリティアドバイザリをクリックします。
    リスト内のセキュリティアドバイザリ
  5. [Edit] ドロップダウンメニューを使用して、[Request CVE] をクリックします。
    ドロップダウンの [Request CVE]
  6. [Request CVE] をクリックします。
    [Request CVE] ボタン

セキュリティアドバイザリを公開する

Publishing a security advisory deletes the temporary private fork for the security advisory.

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。
    セキュリティアドバイザリタブ
  4. [Security Advisories] のリストから、公開するセキュリティアドバイザリをクリックします。
    リスト内のセキュリティアドバイザリ
  5. ページの下部で、[Publish advisory] をクリックします。
    [Publish advisory] ボタン

公開されたセキュリティアドバイザリの GitHub Dependabotアラート

GitHub will review each published security advisory, add it to the GitHub Advisory Database, and may use the security advisory to send GitHub Dependabotアラート to affected repositories. セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

For more information about GitHub Dependabotアラート, see "About alerts for vulnerable dependencies." For more information about GitHub Advisory Database, see "Browsing security vulnerabilities in the GitHub Advisory Database."

参考リンク

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.