Skip to main content

编辑存储库安全通告

如果需要更新详细信息或更正错误,可以编辑存储库安全公告的元数据和说明。

谁可以使用此功能?

Anyone with admin permissions to a repository security advisory, or with a security manager role within the repository, can edit the security advisory.

Note

本文适用于以公共存储库所有者身份编辑存储库级别建议的情形。

不是存储库所有者的用户可以在 github.com/advisories 上的 GitHub Advisory Database 中参与全局安全建议。 对全局公告的编辑不会改变或影响公告在存储库中的显示方式。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

编辑安全通告

还可以使用 REST API 编辑存储库安全公告。 有关详细信息,请参阅“适用于存储库安全公告的 REST API 终结点”。

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。

    存储库标头的屏幕截图,其中显示了选项卡。 “安全性”选项卡以深橙色边框突出显示。

  3. 在左侧边栏中的“报告”下,单击“ 公告”。

  4. 在“安全通告”列表中,单击要编辑的安全通告的名称。

  5. 在安全通告详细信息的右上角,单击“编辑通告”。 这将在编辑模式下打开安全公告表单。

  6. 使用“CVE 标识符”下拉菜单指定是否已有 CVE 标识符,或计划在以后向 GitHub 请求一个 CVE 标识符。 如果你有现有的 CVE 标识符,请选择“我有现有的 CVE 标识符”以显示“现有 CVE”字段,并在字段中键入 CVE 标识符。 有关详细信息,请参阅“关于存储库安全公告”。

  7. 在“说明”字段中,键入安全漏洞的说明,包括其影响、任何可用的修补程序或解决方法以及任何参考。

  8. 在“受影响产品”下,定义此安全公告描述的安全漏洞的生态系统、包名称、受影响/修补版本和易受攻击的功能。 如果适用,可以通过单击“添加另一个受影响产品”,将多个受影响的产品添加到同一公告中。

    有关如何在表单上指定信息(包括受影响的版本)的信息,请参阅“编写存储库安全公告的最佳做法”。

  9. 使用“严重性”下拉菜单定义安全漏洞的严重性。 如果要计算 CVSS 分数,请选择“使用 CVSS 评估严重性”,然后在“计算器”中选择适当的值。 GitHub 根据通用漏洞评分系统计算器计算分数。

  10. 在“漏洞”下的“常见漏洞枚举器”字段中,键入描述此安全公告报告的安全漏洞类型的常见漏洞枚举器 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见漏洞枚举”。

  11. (可选)在“鸣谢”下,删除现有鸣谢人员,或使用搜索框查找要在安全通告中鸣谢的其他人员,然后单击其用户名进行添加。

    • 使用要鸣谢的人员姓名旁边的下拉菜单来分配鸣谢类型。 有关鸣谢类型的详细信息,请参阅 创建存储库安全公告

      安全通告草稿的屏幕截图。 标有“选择鸣谢类型”的下拉菜单以橙色轮廓突出显示。

    • (可选)若要删除某人,请单击鸣谢类型旁边的

  12. 单击“更新安全公告”。

“Credits(积分)”部分列出的人员将会收到邀请他们接受积分的电子邮件或 web 通知。 如果某人接受,则其用户名将在安全通告发布后公开可见。

其他阅读材料