对存储库安全通告具有管理员权限的人员可以编辑安全通告。
注意:本文适用于作为存储库所有者编辑存储库级别的建议。
不是存储库所有者的用户可以在 github.com/advisories 上的 GitHub Advisory Database 中参与全局安全建议。 对全局公告的编辑不会改变或影响公告在存储库中的显示方式。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。
关于安全通告的积分
您可以向帮助发现、报告或修复安全漏洞的人提供积分。 如果您向某人提供积分,他们可以选择接受或拒绝积分。
如果某人接受积分,则其用户名将显示在安全通告的“Credits(积分)”部分。 拥有仓库读取权限的任何人都可以看到通告和接受其积分的人。
如果您认为您应该获得安全通告积分,请联系通告的创建者并让他们编辑通告以包含您的贡献积分。 只有通告创建者才可计入您的功劳积分,因此请不要就安全通告的积分一事联系 GitHub 支持。
编辑安全通告
- 在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。
1. 在左侧边栏的“报告”下,单击“通告”。
- 在“Security Advisories(安全通告)”列表中,单击您要编辑的安全通告。
- 在安全通告详细信息的右上角,单击 。 这将在编辑模式下打开安全公告表单。
1. 编辑受此安全通告所述的安全漏洞影响的产品和版本。 如果适用,可以将多个受影响的产品添加到同一公告中。
有关如何在表单上指定信息(包括受影响的版本)的信息,请参阅“编写存储库安全通告的最佳做法”。 1. 选择安全漏洞的严重性。 要分配 CVSS 分数,请选择“Assess severity using CVSS(使用 CVSS 评估严重程度)”,然后单击计算器中的相应值。 GitHub 根据“通用漏洞评分系统计算器”计算分数。
1. 为本安全通告解决的各种安全漏洞添加常见弱点枚举 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见漏洞枚举”。 - 如果您有现有的 CVE 标识符,请选择“I have an existing CVE identifier(我有现有的 CVE 标识符)”,并在文本框中键入 CVE 标识符。 否则,您可以稍后从 GitHub 请求 CVE。 有关详细信息,请参阅“关于 GitHub Security Advisories”。 1. 键入安全漏洞的说明。
- (可选)编辑安全通告的“Credits(积分)”。
- 单击“更新安全公告”。
- “Credits(积分)”部分列出的人员将会收到邀请他们接受积分的电子邮件或 web 通知。 如果某人接受,则其用户名将在安全通告发布后公开可见。