注: この記事は、パブリック リポジトリの所有者としてのリポジトリ レベルのアドバイザリの編集に適用されます。
リポジトリの所有者ではないユーザーは、github.com/advisories にある GitHub Advisory Database のグローバル セキュリティ アドバイザリに貢献できます。 グローバル アドバイザリを編集しても、リポジトリでのアドバイザリの表示方法が変更されたり、影響を受けたりすることはありません。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。
セキュリティアドバイザリを編集する
REST API を使って、リポジトリ セキュリティ アドバイザリを編集することもできます。 詳しくは、「リポジトリ セキュリティ アドバイザリ用の REST API エンドポイント」をご覧ください。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
左側のサイドバーの [レポート] で、 [ アドバイザリ] をクリックします。
-
[セキュリティ アドバイザリ] の一覧で、編集するセキュリティ アドバイザリの名前をクリックします。
-
セキュリティ アドバイザリの詳細の右上隅にある [アドバイザリの編集] をクリックします。 セキュリティ アドバイザリ フォームが編集モードで開きます。
-
[CVE 識別子] ドロップダウン メニューを使って、CVE 識別子を既に持っているか、後で GitHub に要求する予定かを指定します。 既存の CVE 識別子がある場合は、 [既存の CVE 識別子を持っています] を選んで [既存の CVE] フィールドを表示し、そのフィールドに CVE 識別子を入力します。 詳しくは、「リポジトリ セキュリティ アドバイザリについて」を参照してください。
-
[説明] フィールドに、その影響、使用できるパッチまたは回避策、参照先など、このセキュリティの脆弱性の説明を入力します。
-
[影響を受ける製品] には、このセキュリティ アドバイザリで説明するセキュリティの脆弱性について、エコシステム、パッケージ名、影響を受ける/パッチが適用されたバージョン、脆弱性のある機能を定義します。 該当する場合は、 [別の影響を受ける製品を追加する] を選んで、複数の影響を受ける製品を同じアドバイザリに追加できます。
影響を受けるバージョンを含む、フォームの情報の指定方法については、「リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス」を参照してください。
-
[重大度] ドロップダウン メニューを使って、セキュリティの脆弱性の重大度を定義します。 CVSS スコアを計算する場合は、 [CVSS を使用して重大度を評価する] を選び、計算ツールで適切な値を選びます。 GitHub は共通脆弱性スコアリング システム計算ツールに従ってスコアを計算します。
-
[脆弱性] の [共通脆弱性タイプ一覧] フィールドに、このセキュリティ アドバイザリが報告するセキュリティの脆弱性の種類を表す共通脆弱性タイプ一覧 (CWE) を入力します。 CWE の完全な一覧については、MITRE の「Common Weakness Enumeration」を参照してください。
-
必要に応じて、[クレジット] で既存のクレジットを削除するか、セキュリティ アドバイザリでクレジットする追加のユーザーを検索ボックスを使って検索し、そのユーザー名をクリックして追加します。
-
クレジットの種類を割り当てるには、クレジットを割り当てるユーザーの名前の横にあるドロップダウン メニューを使用します。 クレジットの種類について詳しくは、「リポジトリ セキュリティ アドバイザリの作成」をご覧ください。
-
必要に応じて、他のユーザーを削除するには、クレジットの種類の横にある をクリックします。
-
-
[セキュリティ アドバイザリの更新] をクリックします。
[Credits] セクションに記載されているユーザは、クレジットを受け入れるように勧めるメールまたは Web 通知を受信します。 受け入れた場合、セキュリティアドバイザリが公開されると、そのユーザ名が公開されます。