注意:如果你是安全研究人员,应直接联系维护人员,要求他们创建安全通告,或在你不管理的存储库中代表你发布 CVE。 但如果为存储库启用了私人漏洞报告,则可以自行“私下”__ 报告漏洞。 有关详细信息,请参阅“私下报告安全漏洞”。
创建安全通知
还可以使用 REST API 创建存储库安全公告。 有关详细信息,请参阅“适用于存储库安全公告的 REST API 终结点”。
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。
-
在左侧边栏中的“报告”下,单击“ 公告”。
-
单击“新建安全公告草稿”,打开草稿公告表单。 带有星号的所有字段为必填项。
-
在“标题”字段中,键入安全通告的标题。
-
使用“CVE 标识符”下拉菜单指定是否已有 CVE 标识符,或计划在以后向 GitHub 请求一个 CVE 标识符。 如果你有现有的 CVE 标识符,请选择“我有现有的 CVE 标识符”以显示“现有 CVE”字段,并在字段中键入 CVE 标识符。 有关详细信息,请参阅“关于存储库安全公告”。
-
在“说明”字段中,键入安全漏洞的说明,包括其影响、任何可用的修补程序或解决方法以及任何参考。
-
在“受影响产品”下,定义此安全公告描述的安全漏洞的生态系统、包名称、受影响/修补版本和易受攻击的功能。 如果适用,可以通过单击“添加另一个受影响产品”,将多个受影响的产品添加到同一公告中。
有关如何在表单上指定信息(包括受影响的版本)的信息,请参阅“编写存储库安全公告的最佳做法”。
-
使用“严重性”下拉菜单定义安全漏洞的严重性。 如果要计算 CVSS 分数,请选择“使用 CVSS 评估严重性”,然后在“计算器”中选择适当的值。 GitHub 根据通用漏洞评分系统计算器计算分数。
-
在“漏洞”下的“常见漏洞枚举器”字段中,键入描述此安全公告报告的安全漏洞类型的常见漏洞枚举器 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见漏洞枚举”。
-
(可选)在“贡献积分”下,通过搜索 GitHub 用户名、与其 GitHub 帐户关联的电子邮件地址或其全名来添加贡献积分。
-
使用你为其提供贡献积分的人员姓名旁边的下拉菜单来分配贡献积分类型。 有关贡献积分类型的详细信息,请参阅关于存储库安全通告的贡献积分部分。
-
(可选)若要删除某人,请单击贡献积分类型旁边的 。
-
-
单击“创建安全公告草稿”。
“Credits(积分)”部分列出的人员将会收到邀请他们接受积分的电子邮件或 web 通知。 如果某人接受,则其用户名将在安全通告发布后公开可见。
关于存储库安全通告的贡献积分
您可以向帮助发现、报告或修复安全漏洞的人提供积分。 如果您向某人提供积分,他们可以选择接受或拒绝积分。
你可以为人员分配不同类型的贡献积分。
| 贡献积分类型 | Reason |
|---|---|
| Finder | 标识漏洞 |
| Reporter | 通知供应商 CNA 漏洞 |
| 分析师 | 验证漏洞以确保准确性或严重性 |
| Coordinator | 帮助协调响应过程 |
| 修正开发人员 | 准备代码更改或其他修正计划 |
| 修正审阅者 | 审查漏洞修正计划或代码更改的有效性和完整性 |
| 修正验证者 | 测试和验证漏洞或漏洞修正 |
| 工具 | 漏洞发现或识别过程中使用的工具的名称 |
| 发起人 | 支持漏洞识别或修正活动 |
如果某人接受积分,则其用户名将显示在安全通告的“Credits(积分)”部分。 拥有仓库读取权限的任何人都可以看到通告和接受其积分的人。
Note
如果你认为你应该获得安全公告的贡献积分,请联系公告的创建者并让创建者编辑公告以包含你的贡献积分。 只有通告创建者才可计入你的贡献积分,因此请不要就安全通告的贡献积分一事联系 GitHub 支持。
后续步骤
- 评论安全通告草稿,与团队讨论漏洞。
- 添加协作者到安全通告。 有关详细信息,请参阅“将协作者添加到存储库安全通告”。
- 在临时私有复刻中私下协作以修复漏洞。 有关详细信息,请参阅“在临时专用分支中协作以解决存储库安全漏洞”。
- 添加因对安全通告做出贡献而应获得积分的个人。 有关详细信息,请参阅“编辑存储库安全通告”。
- 发布安全通告以向社区提醒安全漏洞。 有关详细信息,请参阅“发布存储库安全公告”。