任何对仓库有管理员权限的人都可以创建安全通告。
注意:如果你是安全研究人员,应直接联系维护人员,要求他们创建安全通告,或在你不管理的存储库中代表你发布 CVE。 但是,如果为存储库启用了私人漏洞报告,则可以自行私下报告漏洞。 有关详细信息,请参阅“私下报告安全漏洞”。
创建安全通知
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。
1. 在左侧边栏中的“报告”下,单击 公告。 -
单击“新建安全公告草稿”,打开草稿公告表单。 带有星号的所有字段为必填项。
-
键入安全通告的标题。
-
在“受影响产品”下,定义此安全公告描述的安全漏洞的生态系统、包名称、受影响/修补版本和易受攻击的功能。 如果适用,可以通过单击“添加另一个受影响产品”,将多个受影响的产品添加到同一公告中。
有关如何在表单上指定信息(包括受影响的版本)的信息,请参阅“编写存储库安全公告的最佳做法”。 1. 使用“严重性”下拉菜单定义安全漏洞的严重性。 如果要计算 CVSS 分数,请选择“使用 CVSS 评估严重性”,然后在“计算器”中选择适当的值。 GitHub 根据通用漏洞评分系统计算器计算分数。 1. 为本安全通告解决的各种安全漏洞添加常见弱点枚举 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见漏洞枚举”。
-
如果您有现有的 CVE 标识符,请选择“I have an existing CVE identifier(我有现有的 CVE 标识符)”,并在文本框中键入 CVE 标识符。 否则,您可以稍后从 GitHub 请求 CVE。 有关详细信息,请参阅“关于存储库安全公告”。 1. 在“说明”字段中,键入安全漏洞的说明,包括其影响、任何可用的修补程序或解决方法以及任何参考。
-
单击“创建安全公告草稿”。
后续步骤
- 评论安全通告草稿,与团队讨论漏洞。
- 添加协作者到安全通告。 有关详细信息,请参阅“将协作者添加到存储库安全公告”。
- 在临时私有复刻中私下协作以修复漏洞。 有关详细信息,请参阅“在临时专用分支中协作以解决存储库安全漏洞”。
- 添加因对安全通告做出贡献而应获得积分的个人。 有关详细信息,请参阅“编辑存储库安全公告”。
- 发布安全通告以向社区提醒安全漏洞。 有关详细信息,请参阅“发布存储库安全公告”。