Примечание. Если вы занимаетесь исследованиями в сфере безопасности, обратитесь напрямую к специалистам по поддержке, чтобы попросить их создать рекомендации по безопасности или выдать CVE от вашего имени в репозиториях, которые вы не администрируете. Однако если для репозитория включена частная отчетность vulnerabiliy, вы можете самостоятельно сообщить об уязвимости в частном порядке . Дополнительные сведения см. в разделе Конфиденциальное сообщение об уязвимости системы безопасности.
Создание рекомендаций по безопасности
-
На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность.
-
Щелкните Создать черновик рекомендаций по безопасности , чтобы открыть форму черновика рекомендаций. Поля, помеченные звездочкой, являются обязательными.
-
В поле Название введите заголовок для рекомендаций по безопасности.
-
Используйте раскрывающееся меню Идентификатор CVE , чтобы указать, есть ли у вас идентификатор CVE или вы планируете запросить его из GitHub позже. Если у вас есть существующий идентификатор CVE, выберите У меня есть идентификатор CVE , чтобы отобразить поле Existing CVE , и введите идентификатор CVE в поле . Дополнительные сведения см. в разделе Сведения о рекомендациях по безопасности репозитория. 1. В поле Описание введите описание уязвимости системы безопасности, включая ее влияние, все доступные исправления или обходные пути, а также ссылки. 1. В разделе "Затронутые продукты" определите экосистему, имя пакета, затронутые или исправленные версии и уязвимые функции для уязвимости системы безопасности, описываемые в этом совете по безопасности. Если применимо, вы можете добавить несколько затронутых продуктов в одну рекомендацию, щелкнув Добавить другой затронутый продукт.
Сведения о том, как указать сведения о форме, включая затронутые версии, см. в разделе Рекомендации по написанию рекомендаций по безопасности репозитория. 1. Определите серьезность уязвимости системы безопасности с помощью раскрывающегося меню Серьезность . Если вы хотите вычислить оценку CVSS, выберите Оценка серьезности с помощью CVSS , а затем выберите соответствующие значения в калькуляторе. GitHub вычисляет оценку в соответствии с общей системой оценки уязвимостей. 1. В разделе "Слабые места" в поле Перечислитель общих уязвимостей введите общие перечислители слабых мест (CWE), описывающие типы слабых мест безопасности, о которые сообщают эти рекомендации по безопасности. Полный список CWE см. в разделе Перечисление распространенных ошибок из MITRE.
-
При необходимости в разделе "Кредиты" добавьте кредиты, выполнив поиск имени пользователя GitHub, адреса электронной почты, связанного с учетной записью GitHub, или их полного имени.
-
Чтобы назначить тип кредита, используйте раскрывающееся меню рядом с именем пользователя, которого вы начисляете. Дополнительные сведения о типах кредитов см. в разделе Сведения о кредитах для рекомендаций по безопасности репозитория .
-
При необходимости, чтобы удалить пользователя, щелкните рядом с типом кредита.
-
-
Щелкните Create draft security advisory (Создать черновик рекомендаций по безопасности).
Люди, указанные в разделе "Credits" (Благодарности), получат электронное письмо или веб-уведомление с приглашением принять благодарность. Если человек принимает это приглашение, его имя пользователя станет общедоступным после публикации рекомендации по безопасности.
Сведения о кредитах для рекомендаций по безопасности репозитория
Вы можете включать в раздел благодарностей людей, которые помогли обнаружить, зарегистрировать или устранить уязвимость. Если вы решаете включить какого-либо человека в раздел благодарностей, он может принять или отклонить такое предложение.
Вы можете назначить людям различные типы кредитов.
| Тип кредита | Причина |
|---|---|
| Finder | Определяет уязвимость. |
| Репортер | Уведомляет поставщика об уязвимости для CNA |
| Analyst | Проверяет уязвимость, чтобы убедиться в точности или серьезности. |
| Координатор | Упрощает скоординированный процесс реагирования |
| Разработчик исправлений | Подготовка изменения кода или других планов исправления |
| Рецензент исправления | Проверяет планы устранения уязвимостей или изменения кода на эффективность и полноту |
| Средство проверки исправлений | Проверяет и проверяет уязвимость или ее исправление |
| Инструмент | Имена средств, используемых при обнаружении или идентификации уязвимостей |
| Спонсор | Поддерживает действия по выявлению или исправлению уязвимостей. |
Если человек принимает это предложение, его имя пользователя отображается в разделе "Credits" (Благодарности) рекомендации по безопасности. Любой пользователь с доступом на чтение к репозиторию может видеть рекомендацию и людей, которые приняли предложение о включении в раздел благодарностей за нее.
Примечание: Если вы считаете, что вы должны быть зачислены на советы по безопасности, обратитесь к создателю рекомендации и попросите изменить рекомендации, чтобы включить ваш кредит. Только создатель рекомендаций может кредитовать вас, поэтому не обращайтесь в службу поддержки GitHub по поводу кредитов для рекомендаций по безопасности.
Дальнейшие действия
- Прокомментируйте черновик рекомендаций по безопасности, чтобы обсудить уязвимость со своей командой.
- Добавьте в рекомендации по безопасности участников совместной работы. Дополнительные сведения см. в разделе Добавление участника совместной работы в рекомендации по безопасности репозитория.
- Осуществляйте закрытую совместную работу для устранения уязвимости во временной частной вилке. Дополнительные сведения см. в разделе Совместная работа во временной частной вилке для устранения уязвимостей безопасности репозитория.
- Добавьте лиц, на чей счет должен быть отнесен вклад в работу над рекомендациями по безопасности. Дополнительные сведения см. в разделе Пользователи с разрешениями администратора в отношении рекомендаций по безопасности репозитория изменять эти рекомендации..
- Опубликуйте рекомендации по безопасности, чтобы уведомить свое сообщество об уязвимости. Дополнительные сведения см. в разделе Публикация рекомендаций по безопасности репозитория.