セキュリティ研究者によって脆弱性が非公開で報告されると、通知を受け取って、承諾するか、さらに質問するか、拒否するかを選ぶことができます。 レポートを承諾した場合は、セキュリティ リサーチャーと非公開で脆弱性の修正を共同で行う準備が整います。
新しい脆弱性がリポジトリで非公開で報告されると、GitHub は、次の場合にリポジトリの保守担当者とセキュリティ マネージャーに通知します。
- リポジトリでのすべてのアクティビティを監視している。
- リポジトリで通知が有効にされている。
通知の基本設定の構成について詳しくは、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/images/help/repository/security-tab.png)
-
左側のサイドバーの [Reporting] で、 [Advisories] をクリックします。
-
確認するアドバイザリをクリックします。 非公開で報告されたアドバイザリの状態は
Triageです。![[セキュリティ アドバイザリ] リストのスクリーンショット。](/assets/cb-62902/images/help/security/advisory-list.png)
-
レポートをよく確認してから、次のアクションを選択します。
-
非公開のパッチで共同作業するには、 [一時的なプライベート フォークを開始する] をクリックして、共同作成者とさらにディスカッションする場所を作成します。 これにより、提案されたアドバイザリの状態は
Triageから変更されません。 -
報告された脆弱性を承諾するには、 [承諾してドラフトとして開く] をクリックして、GitHub のドラフト アドバイザリとして脆弱性レポートを承諾します。 このオプションを選択した場合、次のようになります。
- これにより、レポートが公開されることはありません。
- レポートはドラフトのリポジトリ セキュリティ アドバイザリになり、作成するドラフト アドバイザリと同じ方法で作業できます。 セキュリティ アドバイザリついて詳しくは「リポジトリ セキュリティ アドバイザリについて」を参照してください。
-
詳細について質問し、報告者と話し合うには、アドバイザリにコメントできます。 コメントは、報告者とアドバイザリのコラボレーターにのみ表示されます。
-
報告者が説明する問題がセキュリティ リスクではないと判断できる十分な情報がある場合は、 [セキュリティ アドバイザリを閉じる] をクリックします。 可能であれば、アドバイザリを閉じる前に、レポートをセキュリティ リスクと見なさない理由を説明するコメントを追加する必要があります。
-
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/mw-1440/images/help/repository/security-tab.webp)
![[セキュリティ アドバイザリ] リストのスクリーンショット。](/assets/cb-62902/mw-1440/images/help/security/advisory-list.webp)
