リポジトリ セキュリティ アドバイザリの公開

プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

この記事で

[前提条件]

セキュリティアドバイザリを公開したり、CVE の ID 番号をリクエストしたりする前に、セキュリティアドバイザリのドラフトを作成し、セキュリティの脆弱性の影響を受けるプロジェクトのバージョンに関する情報を提供する必要があります。 「リポジトリ セキュリティ アドバイザリの作成」と「リポジトリ セキュリティ アドバイザリの編集」を参照してください。

セキュリティアドバイザリを公開する

警告

可能な限り、アドバイザリを公開する前に、セキュリティ アドバイザリに修正バージョンを追加する必要があります。 そうしないと、アドバイザリは固定バージョンなしで公開され、Dependabot は、更新する安全なバージョンを提供することなく、問題についてユーザーに警告します。

  1. GitHub で、リポジトリのメイン ページに移動します。1. リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。
    1. 左側のサイドバーの [Reporting] で、 [Advisories] をクリックします。

  2. [セキュリティアドバイザリ] の一覧で、公開するセキュリティ アドバイザリの名前をクリックします。

  3. アドバイザリ フォームの一番下までスクロールし、 [アドバイザリの公開] をクリックします。

    • [Request CVE ID later] を選んだ場合は、[Publish advisory] ボタンの代わりに [Request CVE] ボタンが表示されます。

    ページの「必要な注意情報が提供されています」領域のスクリーンショット。 [Publish advisory] ボタンがオレンジ色の枠線で囲まれています。

メモ

セキュリティアドバイザリを公開すると、セキュリティアドバイザリの一時的なプライベートフォークが削除されます。

CVE 識別番号をリクエストする (省略可能)

プロジェクトにセキュリティ脆弱性の CVE 識別番号がまだない場合は、GitHub から 1 つを要求できます。

  1. GitHub で、リポジトリのメイン ページに移動します。1. リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。
    1. 左側のサイドバーの [Reporting] で、 [Advisories] をクリックします。

  2. [セキュリティ アドバイザリ] の一覧で、CVE ID 番号を要求するセキュリティ アドバイザリの名前をクリックします。

  3. アドバイザリ フォームの一番下までスクロールし、 [CVE の要求] をクリックします。

    ページの「必要なアドバイザリー情報が提供されました」の領域のスクリーンショット。 [CVE の要求] ボタンが濃いオレンジ色で囲まれています。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/deleting-a-repository-security-advisory)