Veröffentlichen einer Sicherheitsempfehlung für ein Repository

Du kannst einen Sicherheitshinweis veröffentlichen, um Deine Community über eine Sicherheitslücke in Deinem Projekt zu informieren.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Hinweis

Dieser Artikel bezieht sich auf Sicherheitsempfehlungen auf Repositoryebene in einem öffentlichen Repository. Informationen zum Bearbeiten einer globalen Empfehlung in der GitHub Advisory Database finden Sie unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Voraussetzungen

Bevor Du einen Sicherheitshinweis veröffentlichen oder eine CVE-Identifikationsnummer anfordern kannst, musst Du einen Entwurf des Sicherheitshinweises erstellen und Informationen über die Versionen Deines Projekts bereitstellen, die von der Sicherheitslücke betroffen sind. Informationen findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository und Bearbeiten einer Sicherheitsempfehlung für ein Repository.

Einen Sicherheitshinweis veröffentlichen

Warnung

Wenn möglich, sollten Sie vor der Veröffentlichung der Empfehlung eine Fixversion zu einer Sicherheitsempfehlung hinzufügen. Wenn dies nicht der Fall ist, wird der Hinweis ohne eine festgelegte Version veröffentlicht, und Dependabot benachrichtigt Ihre Benutzer über das Problem, ohne eine sichere Version anbieten zu können.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke in der linken Randleiste unter „Reporting“ auf Advisories.

  4. Wähle in der Liste „Sicherheitshinweise“ den Hinweis aus, den du veröffentlichen möchtest.

  5. Scrolle zum Ende des Formulars mit den Hinweisen, und wähle Hinweis veröffentlichen aus.

    • Wenn du „Request CVE ID later“ ausgewählt hast, wird anstelle der Schaltfläche Publish advisory die Schaltfläche Request CVE angezeigt.

    Screenshot des Bereichs „Erforderliche Beratungshinweise wurden bereitgestellt“ auf der Seite. Die Schaltfläche mit der Aufschrift „Veröffentlichungshinweis“ ist orange umrandet.

Hinweis

Die Veröffentlichung eines Sicherheitshinweises löscht den temporären privaten Fork für den Sicherheitshinweis.

Anfordern einer CVE-Identifikationsnummer (optional)

Wenn Sie noch keine CVE-Identifikationsnummer für eine Sicherheitslücke in Ihrem Projekt haben, können Sie eine von GitHubanfordern.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke in der linken Randleiste unter „Reporting“ auf Advisories.

  4. Wähle in der Liste „Sicherheitshinweise“ den Namen des Sicherheitshinweises aus, für den du eine CVE-Identifikationsnummer anfordern möchtest.

  5. Scrolle zum Ende des Formulars mit den Hinweisen, und wähle CVE anfordern aus.

    Screenshot: Bereich „Erforderliche Beratungshinweise wurden bereitgestellt“ auf der Seite Die Schaltfläche „CVE anfordern“ ist dunkelorange umrandet.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/deleting-a-repository-security-advisory)