セキュリティアドバイザリを公開する
プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。
ここには以下の内容があります:
Were you able to find what you were looking for?
Thank you! Your feedback has been submitted.
セキュリティアドバイザリの管理者権限を持つユーザは、セキュリティアドバイザリを公開できます。
必要な環境
Before you can publish a security advisory or request a CVE identification number, you must create a draft security advisory and provide information about the versions of your project affected by the security vulnerability. For more information, see "Creating a security advisory."
セキュリティアドバイザリを作成したが、セキュリティの脆弱性が影響を与えるプロジェクトのバージョンに関する詳細をまだ入力していない場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。
セキュリティアドバイザリの公開について
When you publish a security advisory, you notify your community about the security vulnerability that the security advisory addresses. Publishing a security advisory makes it easier for your community to update package dependencies and research the impact of the security vulnerability.
GitHub Security Advisoriesを使い、すでに別の場所で公開したセキュリティ脆弱性の詳細をコピーして新しいセキュリティアドバイザリに貼り付けることにより、その詳細を再度公開できます。
Before you publish a security advisory, you can privately collaborate to fix the vulnerability in a temporary private fork. 詳細は「一時的なプライベートフォークで、セキュリティ脆弱性を解決するためにコラボレートする」を参照してください。
セキュリティアドバイザリの URL は、セキュリティアドバイザリの公開後も公開前と同じままです。 リポジトリへの読み取りアクセス権を持つユーザは、セキュリティアドバイザリを閲覧することができます。 セキュリティアドバイザリのコラボレータは、管理者権限を持つユーザがコラボレータをセキュリティアドバイザリから削除しない限り、セキュリティアドバイザリでの過去の会話を引き続き表示できます。
公開したセキュリティアドバイザリの情報をアップデートまたは修正する必要がある場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。
CVE 識別番号をリクエストする
Anyone with admin permissions to a security advisory can request a CVE identification number for the security advisory.
まだプロジェクト中のセキュリティ脆弱性に対するCVE識別番号を持っていない場合は、GitHubにCVE識別番号をリクエストできます。 CVE識別番号の割り当てには、一般に72時間あるいはそれ以下の時間がかかります。 For more information, see "About GitHub Security Advisories."
- GitHubで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Security(セキュリティ)をクリックしてください。
- In the left sidebar, click Security advisories.
- [Security Advisories] のリストから、CVE 識別番号をリクエストするセキュリティアドバイザリをクリックします。
- [Edit] ドロップダウンメニューを使用して、[Request CVE] をクリックします。
![ドロップダウンの [Request CVE]](https://proxy-ga.blitzz.co/proxy/123456/web.archive.org/web/20200614062517im_/https:/help.github.com/assets/images/help/security/security-advisory-drop-down-request-cve.png)
- [Request CVE] をクリックします。
![[Request CVE] ボタン](https://proxy-ga.blitzz.co/proxy/123456/web.archive.org/web/20200614062517im_/https:/help.github.com/assets/images/help/security/security-advisory-request-cve-button.png)
セキュリティアドバイザリを公開する
Publishing a security advisory deletes the temporary private fork for the security advisory.
- GitHubで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Security(セキュリティ)をクリックしてください。
- In the left sidebar, click Security advisories.
- [Security Advisories] のリストから、公開するセキュリティアドバイザリをクリックします。
- ページの下部で、[Publish advisory] をクリックします。
![[Publish advisory] ボタン](https://proxy-ga.blitzz.co/proxy/123456/web.archive.org/web/20200614062517im_/https:/help.github.com/assets/images/help/security/publish-advisory-button.png)
公開されたセキュリティアドバイザリのセキュリティアラート
GitHubは公開されたセキュリティアドバイザリをそれぞれレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響を受けるリポジトリにセキュリティアラートを送信することがあります。 セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。
セキュリティアラートに関する詳しい情報については「脆弱性を持つ依存関係に対するセキュリティアラートについて」を参照してください。GitHub Advisory Databaseに関する詳しい情報については「GitHub Advisory Databaseでのセキュリティ脆弱性のブラウジング」を参照してください。
参考リンク
Were you able to find what you were looking for?
Thank you! Your feedback has been submitted.