セキュリティの脆弱性を非公開で報告する

パブリック リポジトリの所有者と管理者は、リポジトリでプライベート脆弱性レポートを有効にすることができます。 詳しくは、「Configuring private vulnerability reporting for a repository」を参照してください。

セキュリティの脆弱性を非公開で報告する方法について

セキュリティ リサーチャーは、多くの場合、脆弱性についてユーザーに通知しなくてはならないと感じますが、脆弱性は悪用されることがあります。 脆弱性を含むリポジトリのメンテナンス担当者に連絡するための明確な指示がない場合は、セキュリティ リサーチャーが、その脆弱性についてソーシャル メディアに投稿したり、メンテナンス担当者にダイレクト メッセージを送信したり、イシューを作成して公開したりするしかない場合があります。 このような状況では、脆弱性の詳細が広く知れわたってしまう可能性があります。

プライベート脆弱性レポートを使用すると、セキュリティ リサーチャーは簡単なフォームを使用してリポジトリの保守担当者に脆弱性を直接報告できます。

セキュリティ リサーチャーの場合、プライベート脆弱性レポートを使うと次のような利点があります。

• フラストレーションが少なく、保守担当者に連絡する方法を把握するのに費やす時間も少なくなります。
• 脆弱性の詳細を開示して話し合うためのよりスムーズなプロセス。
• リポジトリの保守担当者と非公開で脆弱性の詳細について話し合う機会。

セキュリティの脆弱性を非公開で報告する

セキュリティ リサーチャーは、リポジトリの保守担当者に脆弱性を非公開で報告できます。

1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 1. 左側のサイドバーの [レポート] で、 [ アドバイザリ] をクリックします。

2. [脆弱性の報告] をクリックして、アドバイザリ フォームを開きます。

   

3. アドバイザリの詳細フォームに入力します。

   ヒント: このフォームでは、タイトルと説明のみが必須です。 (リポジトリの保守担当者が開始する一般的なドラフト セキュリティ アドバイザリ フォームでは、エコシステムを指定する必要もあります)。ただし、セキュリティ リサーチャーは、送信されたレポートに関して保守担当者が情報に基づいた意思決定を行えるように、フォームにできるだけ多くの情報を提供することをお勧めします。 GitHub のセキュリティ研究者が使ったテンプレートを、github/securitylab リポジトリで利用できる GitHub Security Lab から採用できます。

   使用可能なフィールドとフォームへの入力に関するガイダンスの詳細については、「リポジトリ セキュリティ アドバイザリの作成」および「リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス」を参照してください。

4. フォームの下部にある [レポートの送信] をクリックします。 GitHub には、保守担当者に通知されたことと、このセキュリティ アドバイザリの保留中のクレジットがあることを知らせるメッセージが表示されます。

   

   ヒント: レポートが送信されると、GitHub によって、コラボレーターとして、また提案されたアドバイザリのクレジット ユーザーとして脆弱性の報告者が自動的に追加されます。

5. 必要に応じて、issue の解決を開始する場合は、 [一時的なプライベート フォークを開始する] をクリックします。 リポジトリの保守担当者のみがそのプライベート フォークをマージできることに注意してください。

   

次の手順は、リポジトリの保守担当者によって実行されるアクションによって異なります。 詳細については、「非公開で報告されたセキュリティ脆弱性の管理」を参照してください。