ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

Publishing a security advisory

You can publish a security advisory to alert your community about a security vulnerability in your project.

ここには以下の内容があります:

Anyone with admin permissions to a security advisory can publish the security advisory.

必要な環境

Before you can publish a security advisory or request a CVE identification number, you must create a draft security advisory and provide information about the versions of your project affected by the security vulnerability.

If you've created a security advisory but haven't yet provided details about the versions of your project that the security vulnerability affects, you can edit the security advisory's details at the top of the security advisory.

For more information, see "Creating a security advisory."

About publishing a security advisory

When you publish a security advisory, you notify your community about the security vulnerability that the security advisory addresses. Publishing a security advisory makes it easier for your community to update package dependencies and research the impact of the security vulnerability.

After you publish a security advisory, anyone with read access to the repository can see the security advisory. The URL for the security advisory will remain the same as before you published the security advisory.

Before you publish a security advisory, you can privately collaborate to fix the vulnerability in a temporary private fork. 詳細は「一時的なプライベートフォークで、セキュリティ脆弱性を解決するためにコラボレートする」を参照してください。

Requesting a CVE identification number

Anyone with admin permissions to a security advisory can request a CVE identification number for the security advisory.

まだプロジェクト中のセキュリティ脆弱性に対するCVE識別番号を持っていない場合は、GitHubにCVE識別番号をリクエストできます。 CVE識別番号の割り当てには、一般に72時間あるいはそれ以下の時間がかかります。 For more information, see "About GitHub Security Advisories."

  1. GitHubで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。

    セキュリティのタブ

  3. 左のサイドバーでAdvisories(アドバイザリ)をクリックしてください。

    アドバイザリタブ

  4. In the "Security Advisories" list, click the security advisory you'd like to request a CVE identification number for.

    Security advisory in list

  5. Use the Publish advisory drop-down menu, and click Request CVE.

    Request CVE in drop-down

  6. Click Request CVE.

    Request CVE button

Publishing a security advisory

Publishing a security advisory deletes the temporary private fork for the security advisory.

GitHubは公開されたセキュリティアドバイザリをそれぞれレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響を受けるリポジトリにセキュリティアラートを送信することがあります。 セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

セキュリティアラートに関する詳しい情報については「脆弱性を持つ依存関係に対するセキュリティアラートについて」を参照してください。GitHub Advisory Databaseに関する詳しい情報については「GitHub Advisory Databaseでのセキュリティ脆弱性のブラウジング」を参照してください。

  1. GitHubで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。

    セキュリティのタブ

  3. 左のサイドバーでAdvisories(アドバイザリ)をクリックしてください。

    アドバイザリタブ

  4. In the "Security Advisories" list, click the security advisory you'd like to publish.

    Security advisory in list

  5. At the bottom of the page, click Publish advisory.

    [Publish advisory] ボタン

Security alerts for published security advisories

GitHubは公開されたセキュリティアドバイザリをそれぞれレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響を受けるリポジトリにセキュリティアラートを送信することがあります。 セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

セキュリティアラートに関する詳しい情報については「脆弱性を持つ依存関係に対するセキュリティアラートについて」を参照してください。GitHub Advisory Databaseに関する詳しい情報については「GitHub Advisory Databaseでのセキュリティ脆弱性のブラウジング」を参照してください。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください