Skip to main content
我们经常发布文档更新,此页面的翻译可能仍在进行中。 有关最新信息,请访问英语文档

创建存储库安全公告

您可以创建安全通告草稿,以私下讨论和修复开源项目中的安全漏洞。

任何对仓库有管理员权限的人都可以创建安全通告。

注意:如果你是安全研究人员,应直接联系维护人员,要求他们创建安全通告,或在你不管理的存储库中代表你发布 CVE。 但是,如果为存储库启用了私人漏洞报告,则可以自行私下报告漏洞。 有关详细信息,请参阅“私下报告安全漏洞”。

创建安全通知

  1. 在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。 “安全”选项卡 1. 在左侧边栏中的“报告”下,单击 公告。

  2. 单击“新建安全公告草稿”,打开草稿公告表单。 带有星号的所有字段为必填项。 “打开公告草稿”按钮

  3. 键入安全通告的标题。

  4. 在“受影响产品”下,定义此安全公告描述的安全漏洞的生态系统、包名称、受影响/修补版本和易受攻击的功能。 如果适用,可以通过单击“添加另一个受影响产品”,将多个受影响的产品添加到同一公告中。

    有关如何在表单上指定信息(包括受影响的版本)的信息,请参阅“编写存储库安全公告的最佳做法”。 1. 使用“严重性”下拉菜单定义安全漏洞的严重性。 如果要计算 CVSS 分数,请选择“使用 CVSS 评估严重性”,然后在“计算器”中选择适当的值。 GitHub 根据通用漏洞评分系统计算器计算分数。 1. 为本安全通告解决的各种安全漏洞添加常见弱点枚举 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见漏洞枚举”。

  5. 如果您有现有的 CVE 标识符,请选择“I have an existing CVE identifier(我有现有的 CVE 标识符)”,并在文本框中键入 CVE 标识符。 否则,您可以稍后从 GitHub 请求 CVE。 有关详细信息,请参阅“关于存储库安全公告”。 1. 在“说明”字段中,键入安全漏洞的说明,包括其影响、任何可用的修补程序或解决方法以及任何参考。

  6. 单击“创建安全公告草稿”。 “创建安全公告”按钮

后续步骤