Veröffentlichen einer Sicherheitsempfehlung für ein Repository

Du kannst einen Sicherheitshinweis veröffentlichen, um Deine Community über eine Sicherheitslücke in Deinem Projekt zu informieren.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Hinweis

Dieser Artikel bezieht sich auf Sicherheitsempfehlungen auf Repositoryebene in einem öffentlichen Repository. Informationen zum Bearbeiten einer globalen Empfehlung in der GitHub Advisory Database finden Sie unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Voraussetzungen

Bevor Du einen Sicherheitshinweis veröffentlichen oder eine CVE-Identifikationsnummer anfordern kannst, musst Du einen Entwurf des Sicherheitshinweises erstellen und Informationen über die Versionen Deines Projekts bereitstellen, die von der Sicherheitslücke betroffen sind. Siehe Erstellen einer Sicherheitsempfehlung für ein Repository und Editing a repository security advisory.

Einen Sicherheitshinweis veröffentlichen

Warnung

Wenn möglich, sollten Sie vor der Veröffentlichung der Empfehlung eine Fixversion zu einer Sicherheitsempfehlung hinzufügen. Wenn Dies nicht der Fall ist, wird die Empfehlung ohne feste Version veröffentlicht und Dependabot benachrichtigt Ihre Benutzer über das Problem, ohne eine sichere Version zum Aktualisieren anzubieten.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicken Sie unter dem Repositorynamen auf die Security and quality Registerkarte. Wenn die Registerkarte " Security and quality" nicht angezeigt wird, wählen Sie das Dropdownmenü aus, und klicken Sie dann auf Security and quality.

  3. Klicke in der linken Randleiste unter „Reporting“ auf Advisories.

  4. Wähle in der Liste „Sicherheitshinweise“ den Hinweis aus, den du veröffentlichen möchtest.

  5. Scrolle zum Ende des Formulars mit den Hinweisen, und wähle Hinweis veröffentlichen aus.

    • Wenn du „Request CVE ID later“ ausgewählt hast, wird anstelle der Schaltfläche Publish advisory die Schaltfläche Request CVE angezeigt.

    Screenshot des Bereichs „Erforderliche Beratungshinweise wurden bereitgestellt“ auf der Seite. Die Schaltfläche mit der Aufschrift „Veröffentlichungshinweis“ ist orange umrandet.

Hinweis

Die Veröffentlichung eines Sicherheitshinweises löscht den temporären privaten Fork für den Sicherheitshinweis.

Anfordern einer CVE-Identifikationsnummer (optional)

Wenn Sie noch keine CVE-Identifikationsnummer für eine Sicherheitslücke in Ihrem Projekt haben, können Sie eine von GitHub beantragen.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicken Sie unter dem Repositorynamen auf die Security and quality Registerkarte. Wenn die Registerkarte " Security and quality" nicht angezeigt wird, wählen Sie das Dropdownmenü aus, und klicken Sie dann auf Security and quality.

  3. Klicke in der linken Randleiste unter „Reporting“ auf Advisories.

  4. Wähle in der Liste „Sicherheitshinweise“ den Namen des Sicherheitshinweises aus, für den du eine CVE-Identifikationsnummer anfordern möchtest.

  5. Scrolle zum Ende des Formulars mit den Hinweisen, und wähle CVE anfordern aus.

    Screenshot des Bereichs „Erforderliche Beratungshinweise wurden bereitgestellt“ auf der Seite. Die Schaltfläche „CVE anfordern“ ist dunkelorange umrandet.

Weiterführende Lektüre