ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

About GitHub Security Advisories

You can use GitHub Security Advisories to privately discuss, fix, and publish information about security vulnerabilities in your repository.

ここには以下の内容があります:

リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。

リポジトリに対する管理者権限を持っている人は、そのリポジトリ内のすべてのセキュリティアドバイザリに対する管理権限も持ちます。 セキュリティアドバイザリに対する管理者権限を持っている人は、コラボレータを追加でき、コラボレータはセキュリティアドバイザリに対する書き込み権限を持ちます。

GitHub Security Advisoriesについて

GitHub Security Advisories allows repository maintainers to privately discuss and fix a security vulnerability in a project. After collaborating on a fix, repository maintainers can publish the security advisory to publicly disclose the security vulnerability to the project's community. By publishing security advisories, repository maintainers make it easier for their community to update package dependencies and research the impact of the security vulnerabilities.

With GitHub Security Advisories, you can:

  1. Create a draft security advisory, and use the draft to privately discuss the impact of the vulnerability on your project.
  2. 一時的なプライベートフォークで、脆弱性を修正するため非公式でコラボレートします。
  3. Publish the security advisory to alert your community of the vulnerability.

You can also use GitHub Security Advisories to republish the details of a security vulnerability that you have already disclosed elsewhere by copying and pasting the details of the vulnerability into a new security advisory.

To get started, see "Creating a security advisory."

セキュリティポリシーを作成して、プロジェクト中のセキュリティ脆弱性を責任を持って報告するための指示を出すことができます。 詳しい情報については「リポジトリへのセキュリティポリシーの追加」を参照してください。

GitHub Security Labに加わり、セキュリティ関連のトピックをブラウズし、セキュリティのツールやプロジェクトに貢献することもできます。

CVE identification numbers

GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.

When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. まだプロジェクト中のセキュリティ脆弱性に対するCVE識別番号を持っていない場合は、GitHubにCVE識別番号をリクエストできます。 CVE識別番号の割り当てには、一般に72時間あるいはそれ以下の時間がかかります。 For more information, see "Publishing a security advisory."

Security alerts for published security advisories

GitHubは公開されたセキュリティアドバイザリをそれぞれレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響を受けるリポジトリにセキュリティアラートを送信することがあります。 セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

セキュリティアラートに関する詳しい情報については「脆弱性を持つ依存関係に対するセキュリティアラートについて」を参照してください。GitHub Advisory Databaseに関する詳しい情報については「GitHub Advisory Databaseでのセキュリティ脆弱性のブラウジング」を参照してください。

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください