Любой пользователь с правами администратора в репозитории может создать рекомендации по безопасности.
Примечание. Если вы занимаетесь исследованиями в сфере безопасности, обратитесь напрямую к специалистам по поддержке, чтобы попросить их создать рекомендации по безопасности или выдать CVE от вашего имени в репозиториях, которые вы не администрируете. Однако если для репозитория включена частная отчетность vulnerabiliy, вы можете самостоятельно сообщить об уязвимости в частном порядке . Дополнительные сведения см. в разделе Частные отчеты об уязвимости безопасности.
Создание рекомендаций по безопасности
- На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность.
1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации.
- Щелкните Создать черновик рекомендаций по безопасности , чтобы открыть форму проекта рекомендаций. Поля, помеченные звездочкой, являются обязательными.
- Введите заголовок для рекомендаций по безопасности.
- Измените продукт и версии, затронутые уязвимостью системы безопасности, способы устранения которой приводятся в этой рекомендации по безопасности. Если применимо, в ту же рекомендацию можно добавить несколько затронутых продуктов.
рекомендаций по безопасности Сведения о том, как указать сведения о форме, включая затронутые версии, см. в разделе Рекомендации по написанию рекомендаций по безопасности репозитория. 1. Выберите уровень серьезности уязвимости системы безопасности. Чтобы назначить оценку CVSS, выберите "Оценка серьезности с помощью CVSS" и выберите соответствующие значения в калькуляторе. GitHub вычисляет оценку в соответствии с данными, указанными в калькуляторе общей системы оценки уязвимостей.
1. Добавьте распространенные перечислители уязвимостей (CWE) для типов слабых мест безопасности, к которым обращается эта рекомендация по безопасности. Полный список CWE см. в разделе Перечисление распространенных ошибок из MITRE. - Если у вас есть идентификатор CVE, выберите "У меня есть идентификатор CVE" и введите идентификатор CVE в текстовом поле. В противном случае можно запросить CVE из GitHub позже. Дополнительную информацию см. в разделе Сведения о GitHub Security Advisories. 1. Введите описание уязвимости системы безопасности.
- Щелкните Create draft security advisory (Создать черновик рекомендаций по безопасности).
Дальнейшие действия
- Прокомментируйте черновик рекомендаций по безопасности, чтобы обсудить уязвимость со своей командой.
- Добавьте в рекомендации по безопасности участников совместной работы. Дополнительные сведения см. в разделе Добавление участника совместной работы в рекомендации по безопасности репозитория.
- Осуществляйте закрытую совместную работу для устранения уязвимости во временной частной вилке. Дополнительные сведения см. в разделе Совместная работа во временной частной вилке для устранения уязвимости репозитория.
- Добавьте лиц, на чей счет должен быть отнесен вклад в работу над рекомендациями по безопасности. Дополнительные сведения см. в статье Изменение рекомендаций по безопасности репозитория.
- Опубликуйте рекомендации по безопасности, чтобы уведомить свое сообщество об уязвимости. Дополнительные сведения см. в статье Публикация рекомендаций по безопасности репозитория.