ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

セキュリティアドバイザリを公開する

プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。

ここには以下の内容があります:

セキュリティアドバイザリの管理者権限を持つユーザは、セキュリティアドバイザリを公開できます。

必要な環境

Before you can publish a security advisory or request a CVE identification number, you must create a draft security advisory and provide information about the versions of your project affected by the security vulnerability. For more information, see "Creating a security advisory."

セキュリティアドバイザリを作成したが、セキュリティの脆弱性が影響を与えるプロジェクトのバージョンに関する詳細をまだ入力していない場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。

セキュリティアドバイザリの公開について

When you publish a security advisory, you notify your community about the security vulnerability that the security advisory addresses. Publishing a security advisory makes it easier for your community to update package dependencies and research the impact of the security vulnerability.

You can also use GitHub Security Advisories to republish the details of a security vulnerability that you have already disclosed elsewhere by copying and pasting the details of the vulnerability into a new security advisory.

Before you publish a security advisory, you can privately collaborate to fix the vulnerability in a temporary private fork. 詳細は「一時的なプライベートフォークで、セキュリティ脆弱性を解決するためにコラボレートする」を参照してください。

セキュリティアドバイザリの URL は、セキュリティアドバイザリの公開後も公開前と同じままです。 リポジトリへの読み取りアクセス権を持つユーザは、セキュリティアドバイザリを閲覧することができます。 セキュリティアドバイザリのコラボレータは、管理者権限を持つユーザがコラボレータをセキュリティアドバイザリから削除しない限り、セキュリティアドバイザリでの過去の会話を引き続き表示できます。

公開したセキュリティアドバイザリの情報をアップデートまたは修正する必要がある場合は、セキュリティアドバイザリを編集できます。 詳しい情報については、「セキュリティアドバイザリを編集する」を参照してください。

CVE 識別番号をリクエストする

Anyone with admin permissions to a security advisory can request a CVE identification number for the security advisory.

まだプロジェクト中のセキュリティ脆弱性に対するCVE識別番号を持っていない場合は、GitHubにCVE識別番号をリクエストできます。 CVE識別番号の割り当てには、一般に72時間あるいはそれ以下の時間がかかります。 For more information, see "About GitHub Security Advisories."

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. 左のサイドバーでAdvisories(アドバイザリ)をクリックしてください。
    アドバイザリタブ
  4. [Security Advisories] のリストから、CVE 識別番号をリクエストするセキュリティアドバイザリをクリックします。
    リスト内のセキュリティアドバイザリ
  5. [Edit] ドロップダウンメニューを使用して、[Request CVE] をクリックします。
    ドロップダウンの [Request CVE]
  6. [Request CVE] をクリックします。
    [Request CVE] ボタン

セキュリティアドバイザリを公開する

Publishing a security advisory deletes the temporary private fork for the security advisory.

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. 左のサイドバーでAdvisories(アドバイザリ)をクリックしてください。
    アドバイザリタブ
  4. [Security Advisories] のリストから、公開するセキュリティアドバイザリをクリックします。
    リスト内のセキュリティアドバイザリ
  5. ページの下部で、[Publish advisory] をクリックします。
    [Publish advisory] ボタン

公開されたセキュリティアドバイザリのセキュリティアラート

GitHubは公開されたセキュリティアドバイザリをそれぞれレビューし、GitHub Advisory Databaseに追加し、そのセキュリティアドバイザリを使って影響を受けるリポジトリにセキュリティアラートを送信することがあります。 セキュリティアドバイザリがフォークから生ずる場合、ユニークな名前の下でパブリックなパッケージレジストリに公開されたパッケージをフォークが所有しているときにのみアラートが送信されます。 このプロセスには最大で72時間がかかり、GitHubがさらなる情報を求めてあなたに連絡することがあります。

セキュリティアラートに関する詳しい情報については「脆弱性を持つ依存関係に対するセキュリティアラートについて」を参照してください。GitHub Advisory Databaseに関する詳しい情報については「GitHub Advisory Databaseでのセキュリティ脆弱性のブラウジング」を参照してください。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください