Публикация рекомендаций по безопасности репозитория

Любой пользователь с правами администратора в отношении рекомендации по безопасности может опубликовать эту рекомендацию.

Примечание. Сведения в этой статье применимы к редактированию рекомендаций на уровне репозитория с правами владельца репозитория.

Пользователи, которые не являются владельцами репозитория, могут делать вклад в глобальные рекомендации по безопасности в GitHub Advisory Database на сайте github.com/advisories. Правки в глобальных рекомендациях не изменяют и не влияют на параметры отображения рекомендаций в репозитории. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Предварительные требования

Прежде чем публиковать рекомендацию по безопасности или запрашивать идентификационный номер CVE, необходимо создать черновик рекомендации по безопасности и предоставить сведения о версиях проекта, затронутых уязвимостью. Дополнительные сведения см. в разделе Создание рекомендаций по безопасности репозитория.

Если вы создали рекомендацию по безопасности, но еще не предоставили подробные сведения о версиях проекта, затронутых уязвимостью, вы можете изменить эту рекомендацию по безопасности. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности репозитория.

Сведения о публикации рекомендаций по безопасности

При публикации рекомендации по безопасности вы уведомляете свое сообщество об уязвимости, на которую нацелена рекомендация по безопасности. Публикация рекомендации по безопасности упрощает сообществу задачу по обновлению зависимостей пакетов и изучению влияния уязвимости.

Вы также можете использовать рекомендации по безопасности репозитория для повторной публикации сведений об уязвимости безопасности, которые вы уже раскрыли в другом месте, скопировав и вставив сведения об уязвимости в новые рекомендации по безопасности.

Перед публикацией рекомендации по безопасности вы можете осуществлять закрытую совместную работу над устранением уязвимости во временной частной вилке. Дополнительные сведения см. в разделе Совместная работа во временной частной вилке для устранения уязвимостей безопасности репозитория.

Предупреждение. По возможности следует всегда добавлять исправленную версию в рекомендацию по безопасности перед публикацией этой рекомендации. Если этого не сделать, рекомендация будет опубликована без исправленной версии, и Dependabot оповестит пользователей о проблеме, не предоставив им безопасную версию для обновления.

В таких ситуациях рекомендуется сделать следующее:

Если исправленная версия скоро появится и вы можете дождаться ее, сообщите о проблеме, когда исправление будет готово.
Если версия исправления находится в разработке, но еще не доступна, укажите это в рекомендации и измените рекомендацию позже после публикации.
Если вы не планируете исправлять проблему, четко укажите это в рекомендации, чтобы ваши пользователи не обращались к вам С вопросами о том, когда будет выпущено исправление. В этом случае полезно указать шаги, которые пользователи могут предпринять для устранения проблемы.

При публикации черновика рекомендации из общедоступного репозитория все могут видеть следующее:

Текущая версия данных рекомендации.
Любые благодарности за рекомендацию, на которые согласились пользователи.

Примечание. Широкая публика никогда не будет иметь доступа к журналу изменений такой рекомендации и будет видеть только опубликованную версию.

После публикации рекомендации по безопасности ее URL-адрес останется таким же, как и до публикации. Любой пользователь с доступом на чтение к репозиторию может просматривать рекомендацию по безопасности. Участники совместной работы над рекомендацией по безопасности могут продолжать просматривать прошлые беседы, включая полный поток комментариев, в этой рекомендации, пока пользователь с правами администратора не удалит такого участника из рекомендации.

Если вам нужно обновить или исправить сведения в опубликованной рекомендации по безопасности, ее можно отредактировать. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности репозитория.

Публикация рекомендаций по безопасности

Публикация рекомендации по безопасности удаляет временную частную вилку для этой рекомендации.

На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность. 1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации.
В списке "Рекомендации по безопасности" щелкните имя рекомендаций по безопасности, которые вы хотите опубликовать.
Прокрутите страницу до конца формы рекомендаций и щелкните Опубликовать рекомендации.

Примечание: Если вы выбрали "Запросить идентификатор CVE позже", вместо кнопки "Опубликовать рекомендации" появится кнопка Запросить CVE. Дополнительные сведения см. в разделе Запрос идентификационного номера CVE (необязательно) ниже.

Dependabot alerts для опубликованных рекомендаций по безопасности

GitHub проверяет каждую опубликованную рекомендацию по безопасности, добавляет ее в GitHub Advisory Database и может использовать ее для отправки Dependabot alerts в затронутые репозитории. Если рекомендация по безопасности поступает из вилки, мы отправим оповещение только в том случае, если пакет принадлежит вилке и опубликован под уникальным именем в общедоступном реестре пакетов. Этот процесс может занять до 72 часов, и с GitHub может поступить запрос дополнительных сведений.

Дополнительные сведения о Dependabot alerts см. в разделах Сведения об оповещениях Dependabot и Сведения об обновлениях для системы безопасности Dependabot. Дополнительные сведения о GitHub Advisory Database см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Запрос идентификационного номера CVE (необязательно)

Если вы хотите получить идентификационный номер CVE для уязвимости системы безопасности вашего проекта, и у вас его еще нет, то можно запросить идентификационный номер CVE в GitHub. Обычно GitHub проверяет запрос в течение 72 часов. Запрос идентификационного номера CVE не делает ваши рекомендации по безопасности общедоступными. Если ваша рекомендация по безопасности имеет разрешение на CVE, GitHub зарезервирует идентификационный номер CVE для вашей рекомендации. Затем мы опубликуем сведения о CVE после того, как ваши рекомендации по безопасности станут общедоступными. Любой пользователь с разрешениями администратора для рекомендаций по безопасности может запросить идентификационный номер CVE.

Если у вас уже есть номер CVE, который вы хотите использовать, например, в случае использования центра нумерации CVE (CNA), отличающегося от GitHub, добавьте номер CVE в форму рекомендаций по безопасности. Например, это может произойти, если вы хотите настроить рекомендации по безопасности в соответствии с другими взаимодействиями, которые планируете отправить во время публикации. GitHub не может назначать номера CVE проекту, если он охватывается другой CNA. Дополнительные сведения см. в разделе Сведения о рекомендациях по безопасности репозитория.

На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность. 1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации.
В списке "Рекомендации по безопасности" щелкните имя совета по безопасности, для которых вы хотите запросить идентификационный номер CVE.
Прокрутите страницу до конца формы рекомендаций и щелкните Запросить CVE.

Дополнительные материалы

"Отзыв рекомендаций по безопасности репозитория"