リポジトリに対する管理者権限があるユーザなら誰でも、セキュリティアドバイザリを作成できます。
ノート: セキュリティの研究者は、管理していないリポジトリでは自分の代わりにセキュリティアドバイザリあるいはIssueを作成してもらうよう、メンテナに直接連絡すべきです。
セキュリティアドバイザリを作成する
- GitHub.comで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Security(セキュリティ)をクリックしてください。
- 左のサイドバーで、Security advisories(セキュリティアドバイザリ)をクリックしてください。
- [New draft security advisory] をクリックします。
![[Open draft advisory] ボタン](/web/20220420121847im_/https://docs.github.com/assets/cb-27073/images/help/security/security-advisory-new-draft-security-advisory-button.png)
- セキュリティアドバイザリのタイトルを入力します。
- このセキュリティアドバイザリが対応するセキュリティ脆弱性に影響される製品とバージョンを編集してください。 If applicable, you can add multiple affected products to the same advisory.
- セキュリティ脆弱性の重要度を選択してください。 CVSSスコアを割り当てるには、"Assess severity using CVSS(CVSSを使って重要度を評価)"を選択し、適切な値を計算機でクリックしてください。 GitHubは "共通脆弱性スコアリングシステム計算機"に従ってスコアを計算します。
- このセキュリティアドバイザリが指摘しているセキュリティ脆弱性の種類に対する共通脆弱性タイプ一覧(CWEs)を追加してください。 CWEの完全なリストについては、MITREの「共通脆弱性タイプ一覧」を参照してください。
- 既存のCVE識別子を持っているなら、"I have an existing CVE identifier(既存のCVE識別子を持っています) "を選択し、テキストボックスにCVE識別子を入力してください。 そうでない場合は、後でGitHubからCVEをリクエストできます。 詳しい情報については、「GitHub Security Advisories について」を参照してください。
- セキュリティ脆弱性についての説明を入力します。
- [Create draft security advisory] をクリックします。
![[Create security advisory] ボタン](/web/20220420121847im_/https://docs.github.com/assets/cb-10165/images/help/security/security-advisory-create-security-advisory-button.png)
次のステップ
- セキュリティアドバイザリのドラフトにコメントして、チームと脆弱性について話し合います。
- セキュリティアドバイザリにコラボレータを追加します。 For more information, see "Adding a collaborator to a repository security advisory."
- 一時的なプライベートフォークで、脆弱性を修正するため非公式でコラボレートします。 For more information, see "Collaborating in a temporary private fork to resolve a repository security vulnerability."
- セキュリティアドバイザリへの貢献に対してクレジットを受け取る必要がある個人を追加します。 For more information, see "Editing a repository security advisory."
- コミュニティにセキュリティの脆弱性を知らせるため、セキュリティアドバイザリを公開します。 For more information, see "Publishing a repository security advisory."