Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.

Создание рекомендаций по безопасности репозитория

Вы можете создать проект рекомендаций по безопасности для частного обсуждения и устранения уязвимости безопасности в проекте разработки ПО с открытым кодом.

Любой пользователь с правами администратора в репозитории может создать рекомендации по безопасности.

Примечание. Если вы занимаетесь исследованиями в сфере безопасности, обратитесь напрямую к специалистам по поддержке, чтобы попросить их создать рекомендации по безопасности или выдать CVE от вашего имени в репозиториях, которые вы не администрируете. Однако если для репозитория включена частная отчетность vulnerabiliy, вы можете самостоятельно сообщить об уязвимости в частном порядке . Дополнительные сведения см. в разделе Частные отчеты об уязвимости безопасности.

Создание рекомендаций по безопасности

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Вкладка "Безопасность" 1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации. Вкладка "Рекомендации по безопасности"
  2. Щелкните Создать черновик рекомендаций по безопасности , чтобы открыть форму проекта рекомендаций. Поля, помеченные звездочкой, являются обязательными. Кнопка для открытия черновика рекомендаций
  3. Введите заголовок для рекомендаций по безопасности.
  4. Измените продукт и версии, затронутые уязвимостью системы безопасности, способы устранения которой приводятся в этой рекомендации по безопасности. Если применимо, в ту же рекомендацию можно добавить несколько затронутых продуктов. Метаданные рекомендаций по безопасности Сведения о том, как указать сведения о форме, включая затронутые версии, см. в разделе Рекомендации по написанию рекомендаций по безопасности репозитория. 1. Выберите уровень серьезности уязвимости системы безопасности. Чтобы назначить оценку CVSS, выберите "Оценка серьезности с помощью CVSS" и выберите соответствующие значения в калькуляторе. GitHub вычисляет оценку в соответствии с данными, указанными в калькуляторе общей системы оценки уязвимостей. Раскрывающееся меню для выбора уровня серьезности 1. Добавьте распространенные перечислители уязвимостей (CWE) для типов слабых мест безопасности, к которым обращается эта рекомендация по безопасности. Полный список CWE см. в разделе Перечисление распространенных ошибок из MITRE.
  5. Если у вас есть идентификатор CVE, выберите "У меня есть идентификатор CVE" и введите идентификатор CVE в текстовом поле. В противном случае можно запросить CVE из GitHub позже. Дополнительную информацию см. в разделе Сведения о GitHub Security Advisories. 1. Введите описание уязвимости системы безопасности. Описание уязвимости в рекомендации по безопасности
  6. Щелкните Create draft security advisory (Создать черновик рекомендаций по безопасности). Кнопка для создания рекомендаций по безопасности

Дальнейшие действия