Editing a repository security advisory

You can edit the metadata and description for a repository security advisory if you need to update details or correct errors.

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

この記事で

メモ

この記事は、パブリック リポジトリのリポジトリ レベルのセキュリティ アドバイザリに適用されます。 GitHub Advisory Database でグローバル アドバイザリを編集する方法については、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。

Editing a security advisory

You can also use the REST API to edit repository security advisories. For more information, see リポジトリ セキュリティ アドバイザリ用の REST API エンドポイント.

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ Security and quality ] タブをクリックします。[ Security and quality] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security and quality] をクリックします。

  3. 左側のサイドバーの [Reporting] で、 [Advisories] をクリックします。

  4. In the "Security Advisories" list, click the name of the security advisory you'd like to edit.

  5. In the upper-right corner of the details for the security advisory, click Edit advisory. This will open the security advisory form in edit mode.

  6. [CVE 識別子] ドロップダウン メニューを使って、CVE 識別子を既に持っているか、後で GitHub に要求する予定かを指定します。 既存の CVE 識別子がある場合は、 [既存の CVE 識別子を持っています] を選んで [既存の CVE] フィールドを表示し、そのフィールドに CVE 識別子を入力します。 詳しくは、「リポジトリ セキュリティ アドバイザリ」をご覧ください。

  7. [説明] フィールドに、その影響、使用できるパッチまたは回避策、参照先など、このセキュリティの脆弱性の説明を入力します。

  8. [影響を受ける製品] には、このセキュリティ アドバイザリで説明するセキュリティの脆弱性について、エコシステム、パッケージ名、影響を受ける/パッチが適用されたバージョン、脆弱性のある機能を定義します。 該当する場合は、 [別の影響を受ける製品を追加する] を選んで、複数の影響を受ける製品を同じアドバイザリに追加できます。

    影響を受けるバージョンなど、フォームの情報を指定する方法については、「リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス」を参照してください。

  9. [重大度] ドロップダウン メニューを使って、セキュリティの脆弱性の重大度を定義します。 CVSS スコアを計算する場合は、 [CVSS を使用して重大度を評価する] を選び、計算ツールで適切な値を選びます。 GitHub は 「一般的な脆弱性スコアリング システム計算ツール」に従ってスコアを計算します。

  10. [脆弱性] の [共通脆弱性タイプ一覧] フィールドに、このセキュリティ アドバイザリが報告するセキュリティの脆弱性の種類を表す共通脆弱性タイプ一覧 (CWE) を入力します。 CWE の完全な一覧については、MITRE の「Common Weakness Enumeration」を参照してください。

  11. Optionally, under "Credits", remove existing credits, or use the search box to find additional people you want to credit on the security advisory, then click their username to add them.

  12. Click Update security advisory.

[Credits] セクションに記載されているユーザは、クレジットを受け入れるように勧めるメールまたは Web 通知を受信します。 受け入れた場合、セキュリティアドバイザリが公開されると、そのユーザ名が公開されます。

Further reading