Skip to main content

リポジトリ セキュリティ アドバイザリの使用

リポジトリ セキュリティ アドバイザリを利用したリポジトリ内のセキュリティ脆弱性に関する話し合い、修正、開示を行います。

廃止に関する注意: GitHub は、プライベート リポジトリ のリポジトリ セキュリティ アドバイザリが廃止されます。 2024 年 5 月 15 日の時点で、プライベート リポジトリにセキュリティ アドバイザリを作成できなくなります。

この廃止は、パブリック リポジトリの公開されたセキュリティ アドバイザリには影響しません。

に以前公開されていたアドバイザリは消去されます。 以前に公開されたアドバイザリを保存する必要がある場合は、GitHub REST API を使用してダウンロードできます。 詳しくは、「リポジトリ セキュリティ アドバイザリ用の REST API エンドポイント」を参照してください。

リポジトリ セキュリティ アドバイザリについて

リポジトリにおけるセキュリティの脆弱性について、非公開で議論、修正、および情報を共有するには、リポジトリ セキュリティ アドバイザリを使用できます。

リポジトリ セキュリティ アドバイザリの権限レベル

リポジトリ セキュリティ アドバイザリで実行できるアクションは、セキュリティ アドバイザリに対する管理者や書き込みの権限を持っているかどうかによって変わります。

リポジトリのプライベート脆弱性レポートの構成

パブリック リポジトリの所有者と管理者は、プライベート脆弱性レポートを有効にすることで、セキュリティ リサーチャーがリポジトリ内の脆弱性を安全に報告できるようにすることができます。

Organization のプライベート脆弱性レポートの構成

Organization オーナーとセキュリティ マネージャーは、すべてのパブリック リポジトリに対してプライベート脆弱性レポートを有効にすることで、セキュリティ研究者たちが Organization 内にあるリポジトリの脆弱性を安全にレポートできるようにすることができます。

リポジトリ セキュリティ アドバイザリの作成

セキュリティアドバイザリのドラフトを作成して、オープンソースプロジェクトのセキュリティ脆弱性について非公開で議論して修正することができます。

リポジトリ セキュリティ アドバイザリの編集

詳細を更新したりエラーを修正したりする必要がある場合は、リポジトリ セキュリティ アドバイザリのメタデータと説明を編集できます。

リポジトリのセキュリティ設定を評価する

セキュリティ調査担当者は、パブリック リポジトリのセキュリティ設定を評価し、セキュリティ ポリシーを提案し、脆弱性を報告できます。

一時的なプライベート フォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする

リポジトリにおけるセキュリティ脆弱性の修正について非公開でコラボレートするため、一時的なプライベートフォークを作成できます。

リポジトリ セキュリティ アドバイザリの公開

プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。

リポジトリ セキュリティ アドバイザリへのコラボレータの追加

あなたと協力するセキュリティアドバイザリとして、ユーザや Team を追加できます。

リポジトリ セキュリティ アドバイザリからのコラボレータの削除

リポジトリ セキュリティ アドバイザリからコラボレーターを削除すると、そのコラボレーターはセキュリティ アドバイザリのディスカッションとメタデータへの読み取りおよび書き込みアクセス権を失います。

リポジトリ セキュリティ アドバイザリの削除

サポートに問い合わせることで、公開したリポジトリ セキュリティ アドバイザリを削除できます。